Hacker verkaufen Daten von 900'000 Schweizer Hobbysportlern

1. Februar 2024 um 11:16
  • security
  • cyberangriff
  • breach
  • Datasport
  • Schweiz
image
Am Engadin Skimarathon ist Datasport für Zeitmessung und Datenverarbeitung zuständig. Foto: Swiss Ski

Das Datenpaket wurde bei einem Angriff auf Datasport, Dienstleister für Breitensport, erbeutet. CEO Thomas Bachofner erläutert den Vorfall und sagt, welche Daten geklaut wurden.

Seit kurzem wird in einem Hackerforum ein Datenpaket zum Kauf angeboten. Darin enthalten seien rund 1,3 Millionen Datensätze, so der Eintrag. Über 900'000 davon würden Schweizerinnen und Schweizer betreffen, der Rest die umliegenden Nachbarstaaten und weitere Länder. Die Daten seien beim Schweizer Unternehmen Datasport erbeutet worden.
Datasport stellt für Breitensport-Anlässe – vom Engadin Skimarathon über zahlreiche Stadtläufe bis zu Bike-Wettkämpfen – Dienste wie Zeitmessung, Startnummernprozesse und Online-Anmeldung bereit. Hobbysportler und Athletinnen können mit dem Angebot myDS zudem ihre Leistungsdaten sammeln und nach Wunsch veröffentlichen.

Schwachstelle sofort geschlossen

Das Unternehmen selbst vermeldete am 23. Januar auf seiner Website einen Cyberangriff. CEO Thomas Bachofner erklärt auf unsere Anfrage: "Datasport hatte bei der regelmässigen Überprüfung der technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit die Georedundanz erhöht und Daten zu Backup-Zwecken in ein weiteres Rechenzentrum überführt."
Im Zuge der Implementierung in diesem Rechenzentrum müsse kurz vor dem 23. Januar eine sicherheitsrelevante Schwachstelle existiert haben. "Datasport hat diese nach der Entdeckung innert weniger Minuten geschlossen."
Der oder die Hacker müssen das kurze Zeitfenster aber ausgenutzt haben. Nach der Veröffentlichung des Breachs durch die Täter habe man die Datenlage noch einmal überprüft, sagt Bachofner. "Wir gehen davon aus, dass theoretisch bis zu 1 Million Datensätze betroffen sein könnten." Sicherheitsrelevante Informationen wie Passwörter oder Zahlungsmittel seien vom Leck aber nicht tangiert, betont der Datasport-CEO.

Namen, Telefonnummern und E-Mail-Adressen erbeutet

"Die meisten Informationen, die potentiell betroffen waren, werden von unseren Nutzerinnen und Nutzern auf Datasport.com selbst online gestellt und sind somit öffentlich abrufbar", erklärt Bachofner. Dabei handle es sich um Angaben wie Namen, Postadressen und Geburtsdaten. Erbeutet worden seien aber auch teilweise E-Mail-Adressen und Telefonnummern der myDS-User. Dies bestätigen vom Hacker publizierte Daten-Samples. Die ebenfalls im Datenpaket enthaltenen myDS-ID-Nummern würden hingegen von Datasport nur intern verwendet, um Doubletten bei Usern zu vermeiden.
Negative Auswirkungen auf die Dienstleistungen von Datasport sollte der Vorfall keine haben, da keine sicherheitsrelevanten Daten erbeutet wurden, so Bachofner gegenüber inside-it.ch. Eine Meldung über den Datendiebstahl an den Edöb sei aber bereits erfolgt. "Wir bedauern den Vorfall und aktualisieren auf unserer Website auch laufend die Informationen dazu." Datasport bemühe sich "selbstverständlich, weiterhin unsere technischen und organisatorischen Massnahmen zur Datensicherheit und Informationssicherheit zu überprüfen und auf dem aktuellen Stand zu halten".
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr zum Thema

image

IT-Branche steht trotz lauer Wirtschaft auf Wachstum

Die ICT-Branche rechnet auch im 4. Quartal mit Wachstum. Der ICT-Index von Swico verdeutlicht aber, dass die gesamtwirtschaftliche Lage schwächelt.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024