Seit kurzem wird in einem Hackerforum ein Datenpaket zum Kauf angeboten. Darin enthalten seien rund 1,3 Millionen Datensätze, so der Eintrag. Über 900'000 davon würden Schweizerinnen und Schweizer betreffen, der Rest die umliegenden Nachbarstaaten und weitere Länder. Die Daten seien beim Schweizer Unternehmen Datasport erbeutet worden.
Datasport stellt für Breitensport-Anlässe – vom Engadin Skimarathon über zahlreiche Stadtläufe bis zu Bike-Wettkämpfen – Dienste wie Zeitmessung, Startnummernprozesse und Online-Anmeldung bereit. Hobbysportler und Athletinnen können mit dem Angebot myDS zudem ihre Leistungsdaten sammeln und nach Wunsch veröffentlichen.
Schwachstelle sofort geschlossen
Das Unternehmen selbst vermeldete am 23. Januar auf seiner Website einen Cyberangriff. CEO Thomas Bachofner erklärt auf unsere Anfrage: "Datasport hatte bei der regelmässigen Überprüfung der technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit die Georedundanz erhöht und Daten zu Backup-Zwecken in ein weiteres Rechenzentrum überführt."
Im Zuge der Implementierung in diesem Rechenzentrum müsse kurz vor dem 23. Januar eine sicherheitsrelevante Schwachstelle existiert haben. "Datasport hat diese nach der Entdeckung innert weniger Minuten geschlossen."
Der oder die Hacker müssen das kurze Zeitfenster aber ausgenutzt haben. Nach der Veröffentlichung des Breachs durch die Täter habe man die Datenlage noch einmal überprüft, sagt Bachofner. "Wir gehen davon aus, dass theoretisch bis zu 1 Million Datensätze betroffen sein könnten." Sicherheitsrelevante Informationen wie Passwörter oder Zahlungsmittel seien vom Leck aber nicht tangiert, betont der Datasport-CEO.
Namen, Telefonnummern und E-Mail-Adressen erbeutet
"Die meisten Informationen, die potentiell betroffen waren, werden von unseren Nutzerinnen und Nutzern auf Datasport.com selbst online gestellt und sind somit öffentlich abrufbar", erklärt Bachofner. Dabei handle es sich um Angaben wie Namen, Postadressen und Geburtsdaten. Erbeutet worden seien aber auch teilweise E-Mail-Adressen und Telefonnummern der myDS-User. Dies bestätigen vom Hacker publizierte Daten-Samples. Die ebenfalls im Datenpaket enthaltenen myDS-ID-Nummern würden hingegen von Datasport nur intern verwendet, um Doubletten bei Usern zu vermeiden.
Negative Auswirkungen auf die Dienstleistungen von Datasport sollte der Vorfall keine haben, da keine sicherheitsrelevanten Daten erbeutet wurden, so Bachofner gegenüber inside-it.ch. Eine Meldung über den Datendiebstahl an den Edöb sei aber bereits erfolgt. "Wir bedauern den Vorfall und aktualisieren auf unserer Website auch laufend die Informationen dazu." Datasport bemühe sich "selbstverständlich, weiterhin unsere technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit zu überprüfen und auf dem aktuellen Stand zu halten".
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!