Hacker verkaufen Daten von 900'000 Schweizer Hobbysportlern

1. Februar 2024 um 11:16
  • security
  • cyberangriff
  • breach
  • Datasport
  • Schweiz
image
Am Engadin Skimarathon ist Datasport für Zeitmessung und Datenverarbeitung zuständig. Foto: Swiss Ski

Das Datenpaket wurde bei einem Angriff auf Datasport, Dienstleister für Breitensport, erbeutet. CEO Thomas Bachofner erläutert den Vorfall und sagt, welche Daten geklaut wurden.

Seit kurzem wird in einem Hackerforum ein Datenpaket zum Kauf angeboten. Darin enthalten seien rund 1,3 Millionen Datensätze, so der Eintrag. Über 900'000 davon würden Schweizerinnen und Schweizer betreffen, der Rest die umliegenden Nachbarstaaten und weitere Länder. Die Daten seien beim Schweizer Unternehmen Datasport erbeutet worden.
Datasport stellt für Breitensport-Anlässe – vom Engadin Skimarathon über zahlreiche Stadtläufe bis zu Bike-Wettkämpfen – Dienste wie Zeitmessung, Startnummernprozesse und Online-Anmeldung bereit. Hobbysportler und Athletinnen können mit dem Angebot myDS zudem ihre Leistungsdaten sammeln und nach Wunsch veröffentlichen.

Schwachstelle sofort geschlossen

Das Unternehmen selbst vermeldete am 23. Januar auf seiner Website einen Cyberangriff. CEO Thomas Bachofner erklärt auf unsere Anfrage: "Datasport hatte bei der regelmässigen Überprüfung der technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit die Georedundanz erhöht und Daten zu Backup-Zwecken in ein weiteres Rechenzentrum überführt."
Im Zuge der Implementierung in diesem Rechenzentrum müsse kurz vor dem 23. Januar eine sicherheitsrelevante Schwachstelle existiert haben. "Datasport hat diese nach der Entdeckung innert weniger Minuten geschlossen."
Der oder die Hacker müssen das kurze Zeitfenster aber ausgenutzt haben. Nach der Veröffentlichung des Breachs durch die Täter habe man die Datenlage noch einmal überprüft, sagt Bachofner. "Wir gehen davon aus, dass theoretisch bis zu 1 Million Datensätze betroffen sein könnten." Sicherheitsrelevante Informationen wie Passwörter oder Zahlungsmittel seien vom Leck aber nicht tangiert, betont der Datasport-CEO.

Namen, Telefonnummern und E-Mail-Adressen erbeutet

"Die meisten Informationen, die potentiell betroffen waren, werden von unseren Nutzerinnen und Nutzern auf Datasport.com selbst online gestellt und sind somit öffentlich abrufbar", erklärt Bachofner. Dabei handle es sich um Angaben wie Namen, Postadressen und Geburtsdaten. Erbeutet worden seien aber auch teilweise E-Mail-Adressen und Telefonnummern der myDS-User. Dies bestätigen vom Hacker publizierte Daten-Samples. Die ebenfalls im Datenpaket enthaltenen myDS-ID-Nummern würden hingegen von Datasport nur intern verwendet, um Doubletten bei Usern zu vermeiden.
Negative Auswirkungen auf die Dienstleistungen von Datasport sollte der Vorfall keine haben, da keine sicherheitsrelevanten Daten erbeutet wurden, so Bachofner gegenüber inside-it.ch. Eine Meldung über den Datendiebstahl an den Edöb sei aber bereits erfolgt. "Wir bedauern den Vorfall und aktualisieren auf unserer Website auch laufend die Informationen dazu." Datasport bemühe sich "selbstverständlich, weiterhin unsere technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit zu überprüfen und auf dem aktuellen Stand zu halten".
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort-Manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024
image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.