Ist das normal oder eine wirkliche Sicherheitslücke.

Wenn die Sicherheit deiner Webseit von der Unkenntnis von URLs abhängt, dann ist es eine Sicherheitslücke.
Da aber auch IPs, wenn auch nur pauschal, in unauthorisierte Hände geraten, ist das rechtlich schon mal problematisch.

Eigentlich gehen mich anderer Leute Statistik ja nichts an. Meinem Provider habe ich das schon vor Tagen gemeldet. Außer einer automatischen Eingangsbestätigung bisher ohne weitere Reaktion.

Ich würde sie darauf aufmerksam machen, dass sie wieder http-authentication erfordern.

mfg Beat