Daten-Leak

UEFA: Daten von 15.000 Nutzern landeten ungeschützt im Internet

Veröffentlicht: 02.07.2021 | Geschrieben von: Christoph Pech | Letzte Aktualisierung: 05.07.2022
UEFA

Die UEFA muss sich während der aktuell laufenden Fußball-Europameisterschaft viel Kritik gefallen lassen – am Umgang mit Spielern, mit Werten und mit der Corona-Pandemie – und nun kommen auch noch Datenschutzprobleme dazu. Offenbar waren bis vor Kurzem die Daten von 15.000 Nutzern von UEFA-Webseiten ungeschützt im Netz verfügbar. Aufgedeckt hat das – wohl eher zufällig – das c/t-Magazin von Heise.

Will man auf der Website der UEFA zum Beispiel Tickets bestellen, muss man sich registrieren. Die UEFA speichert dabei mindestens die E-Mail-Adresse. Der Login gilt dann für mehrere UEFA-Präsenzen, etwa auch UEFA TV oder UEFA Gaming. Bei der Recherche für einen Artikel entdeckten c/t-Redakteure nun „eher zufällig“ eine Subdomain der UEFA, über die sich E-Mail-Adressen und Vornamen einsehen ließen, außerdem wurden Metadaten gelistet. Das Magazin fand – Stand jetzt – fast 16.000 Datensätze, die sich seit dem 10. Dezember 2020 angesammelt hatten.

Falsch konfigurierter Webdienst

Das Problem war offenbar eine falsche Konfiguration. Über ein testweise angelegtes Konto versuchte c/t nachzuvollziehen, wie die Daten in der Liste landeten. Die angelegten Profile landeten offenbar erst dann in der Liste, wenn sie vom Nutzer im UEFA-Profil unter dem Menüpunkt „Datenschutz“ gelöscht wurden. Der betroffene Webdienst der UEFA dürfte gar nicht für die Öffentlichkeit bestimmt gewesen sein und seine Funktion sei zunächst unklar geblieben, so c/t.

„Doch es gab Hinweise: Jedes Profil bekam einen Status, entweder ,Authorisation‘ oder ,Deletion‘. Eine mögliche Erklärung für das Datenleck könnte die Kommunikation mit einem Datenschutzmanagementsystem (DMS) sein. Solche Systeme sollen die Einhaltung der gesetzlichen Datenschutzanforderungen sichern und dokumentieren. Der Name der Domain legt einen Zusammenhang mit der Firma OneTrust Technology Limited nahe, die Software für Datenschutz und Data Governance vertreibt. Ein zusätzliches Löschformular in den Datenschutzbestimmungen der UEFA verweist auf einen Server dieser Firma“, schreibt das Magazin.

UEFA stopft das Datenleck

Der Fußballverband habe die API nach c/t-Hinweis abgeschaltet. Er bestätigte, dass der Fortschritt von Löschanträgen für Benutzerkonten mit der OneTrust-Software dokumentiert werde. Zudem räumte die UEFA ein, dass sie selbst für den Webdienst und damit auch für das Datenleck verantwortlich sei. Ob man die betroffenen Nutzer informiert, werde derzeit noch geprüft, denn dies sei laut UEFA juristisch nicht notwendig. Allerdings greift die DSGVO eigentlich, weil EU-Kunden bedient werden, auch wenn die UEFA in der Schweiz sitzt, so das c/t-Magazin.

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.

Meistgelesene Artikel