Hacker verkaufen Daten von 900'000 Schweizer Hobbysportlern

1. Februar 2024 um 11:16
  • security
  • cyberangriff
  • breach
  • Datasport
  • Schweiz
image
Am Engadin Skimarathon ist Datasport für Zeitmessung und Datenverarbeitung zuständig. Foto: Swiss Ski

Das Datenpaket wurde bei einem Angriff auf Datasport, Dienstleister für Breitensport, erbeutet. CEO Thomas Bachofner erläutert den Vorfall und sagt, welche Daten geklaut wurden.

Seit kurzem wird in einem Hackerforum ein Datenpaket zum Kauf angeboten. Darin enthalten seien rund 1,3 Millionen Datensätze, so der Eintrag. Über 900'000 davon würden Schweizerinnen und Schweizer betreffen, der Rest die umliegenden Nachbarstaaten und weitere Länder. Die Daten seien beim Schweizer Unternehmen Datasport erbeutet worden.
Datasport stellt für Breitensport-Anlässe – vom Engadin Skimarathon über zahlreiche Stadtläufe bis zu Bike-Wettkämpfen – Dienste wie Zeitmessung, Startnummernprozesse und Online-Anmeldung bereit. Hobbysportler und Athletinnen können mit dem Angebot myDS zudem ihre Leistungsdaten sammeln und nach Wunsch veröffentlichen.

Schwachstelle sofort geschlossen

Das Unternehmen selbst vermeldete am 23. Januar auf seiner Website einen Cyberangriff. CEO Thomas Bachofner erklärt auf unsere Anfrage: "Datasport hatte bei der regelmässigen Überprüfung der technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit die Georedundanz erhöht und Daten zu Backup-Zwecken in ein weiteres Rechenzentrum überführt."
Im Zuge der Implementierung in diesem Rechenzentrum müsse kurz vor dem 23. Januar eine sicherheitsrelevante Schwachstelle existiert haben. "Datasport hat diese nach der Entdeckung innert weniger Minuten geschlossen."
Der oder die Hacker müssen das kurze Zeitfenster aber ausgenutzt haben. Nach der Veröffentlichung des Breachs durch die Täter habe man die Datenlage noch einmal überprüft, sagt Bachofner. "Wir gehen davon aus, dass theoretisch bis zu 1 Million Datensätze betroffen sein könnten." Sicherheitsrelevante Informationen wie Passwörter oder Zahlungsmittel seien vom Leck aber nicht tangiert, betont der Datasport-CEO.

Namen, Telefonnummern und E-Mail-Adressen erbeutet

"Die meisten Informationen, die potentiell betroffen waren, werden von unseren Nutzerinnen und Nutzern auf Datasport.com selbst online gestellt und sind somit öffentlich abrufbar", erklärt Bachofner. Dabei handle es sich um Angaben wie Namen, Postadressen und Geburtsdaten. Erbeutet worden seien aber auch teilweise E-Mail-Adressen und Telefonnummern der myDS-User. Dies bestätigen vom Hacker publizierte Daten-Samples. Die ebenfalls im Datenpaket enthaltenen myDS-ID-Nummern würden hingegen von Datasport nur intern verwendet, um Doubletten bei Usern zu vermeiden.
Negative Auswirkungen auf die Dienstleistungen von Datasport sollte der Vorfall keine haben, da keine sicherheitsrelevanten Daten erbeutet wurden, so Bachofner gegenüber inside-it.ch. Eine Meldung über den Datendiebstahl an den Edöb sei aber bereits erfolgt. "Wir bedauern den Vorfall und aktualisieren auf unserer Website auch laufend die Informationen dazu." Datasport bemühe sich "selbstverständlich, weiterhin unsere technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit zu überprüfen und auf dem aktuellen Stand zu halten".
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Post eröffnet weiteren IT-Standort in der Westschweiz

Neben Neuchâtel beschäftigt die IT-Abteilung der Post neu auch Personal in Lausanne. Damit will das Unternehmen für französischsprachige Mitarbeitende attraktiver werden.

publiziert am 22.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024