Auf einen Datenbankserver des SZ-Magazins haben sich Unbefugte rechtswidrig Zugang verschafft. Auf diesem Server wurden Profil-Stammdaten gespeichert, mit denen sich Nutzer in der Vergangenheit unter sz-magazin.sueddeutsche.de registriert hatten, um an Gewinnspielen teilzunehmen, den Newsletter des Magazins zu erhalten oder die frühere Kommentarfunktion zu nutzen. Alle betroffenen Nutzer sind am 30. Mai 2016 per E-Mail über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden. Der Verlag bedauert diesen Vorfall sehr und entschuldigt sich für die daraus entstehenden Umstände. Die auf dem betroffenen Webserver abgelegten Daten umfassen in der Regel Anrede*, E-Mail*, Vorname*, Nachname*, das gespeicherte Passwort*, Postleitzahl* (* bezeichnet Pflichtfelder bei der Registrierung) und, soweit vom Nutzer eingegeben, weitere Angaben wie Geburtsdatum, Adresse und Telefonnummer. Es handelt sich in keinem Fall um Bezahldaten wie Bankverbindungen. Der Angriff erfolgte über ein Blog-System, das im Bereich des SZ-Magazins eingesetzt wird. Die entsprechenden Blogs sind inzwischen deaktiviert worden, sodass die Sicherheitslücke nunmehr geschlossen ist.