Die UEFA ist vor allem als Verband hinter der aktuell laufenden Europameisterschaft häufig in den Nachrichten vertreten. Doch eine Datenpanne, die einen E-Mail-Adressen Leak zur Folge hat, ist die neueste Nachricht über die UEFA.
Öffentlicher Webserver ist der Grund für den E-Mail-Adressen Leak
Die Union of European Football Associations, kurz UEFA, ist der europäische Fußballverband mit Hauptsitz in der Schweiz. Neben dem Veranstalten von großen Fußballturnieren wie der UEFA Champions League oder der Europameisterschaft ist der gemeinnützige Verein auch mit einer eigenen Academy vertreten. Die Haupttätigkeiten sind jedoch die Fußballveranstaltungen, für die die Fans auch Tickets direkt bei der UEFA erwerben können.
Um sich jedoch ein Ticket kaufen zu können oder auch in der Online-Academy einen Teilnehmer-Platz zu bekommen, muss man sich zunächst einen Account bei der UEFA anlegen. Dieser Account benötigt neben einem Namen eine gültige E-Mail-Adresse. Etwa 15.000 solcher E-Mail-Adressen konnten nun öffentlich aus dem Netz eingesehen werden und stellen damit einen E-Mail-Adressen Leak dar.
Laut des Online-Magazins heise, handelt es sich um eine JSON-Datei, die neben den E-Mail-Adressen noch den Vornamen sowie Metadaten der einzelnen Accounts auflistet. Der erste Eintrag der Liste wies einen Zeitstempel vom 10.12.2020 auf, der letzte Eintrag war der Zeitpunkt der Erstellung des Artikels seitens heise.
Löschen führt zur Speicherung ?!
Die große Frage ist, wie kommen die Daten der UEFA-Accounts in diese fehlerhaft konfigurierte Datenbank. Um diese Frage beantworten zu können, haben die Redakteure einen eigenen Test-Account erstellt und kontrolliert, ab wann dieser Account in der Datenbank auftaucht. Das sehr überraschende Ergebnis dieser Analyse ist, dass der Account erst in der Datenbank aufgeführt wird, wenn der Nutzer den Account löscht!
Eine Erklärung hierfür könnte sein, dass dieses Dokument der gelöschten Accounts an eine externe Datenschutz-Software weitergeleitet werden soll, die sich um den gesamten Datenschutz kümmert und somit auch dokumentiert, wann welche Accounts gelöscht werden. Das genau an dieser Schnittstelle, zu der Datenschutz-Software nun ein Fehler passiert ist, sorgt dafür, dass genau die gelöschten Accounts öffentlich in dem E-Mail-Adressen Leak zu finden sind.
Mit der DSGVO haben Accountbesitzer das Recht auf Löschung. Das bedeutet Unternehmen bzw. Organisationen, die personenbezogene Daten speichern, wie bspw. die E-Mail-Adresse und den Namen, müssen die Möglichkeit der Löschung bereitstellen. Diese Löschung können wir auf der UEFA-Seite leicht in den Konto-Einstellungen finden, jedoch sollten die Daten anschließend nicht in einer Datenbank auftauchen, die öffentlich einsehbar ist.
Da die UEFA ihre Webseite in der EU bereitstellt und dort die DSGVO gilt, hat die UEFA durch diesen fehlerhaften und fahrlässigen Umgang mit Daten einen Verstoß gegen die DSGVO begangen. Zum aktuellen Zeitpunkt gibt es keine öffentlichen Aussagen zu den weiteren Ereignissen dieses Verstoßes. Nachdem der E-Mail-Adressen Leak an die UEFA gemeldet wurde, haben diese den Fehler behoben und sich selbst die Schuld gegeben.
Wer in dem oben genannten Zeitraum einen Account auf der Webseite der UEFA gelöscht hat, kann davon ausgehen, dass er in dem E-Mail-Adressen Leak auftaucht. Dementsprechend kann es vorkommen, dass in nächster Zeit vermehrt Phishing-Mails in dem Postfach auftauchen. Von weiteren Schäden sind die Accounts zum aktuellen Zeitpunkt jedoch nicht betroffen.
Trivialer Fehler sorgt für E-Mail-Adressen Leak
Der Fehler hätte seitens der UEFA gar nicht erst auftreten dürfen. Neben dem Diskussionspunkt der Datenspeicherung ist ein öffentlich erreichbarer Webserver, der zudem Account-Daten speichert, immer eine große Gefahr. Umso weniger Systeme öffentlich erreichbar sind, desto weniger Angriffspunkte stellt man den Angreifern zur Verfügung. Muss ein gewisser Dienst mit sensiblen Daten aus dem Internet erreichbar sein, muss dieser mit guten Passwörtern und einem sicheren Authentifizierungsprozess geschützt sein.
Der Webserver der UEFA war durch keine Art von Authentifizierungsprozess geschützt und somit für jede Person weltweit einsehbar. Solche Fehler würden im Rahmen eines Penetrationstests sofort auffallen und anschließend behoben werden. Obwohl die UEFA einen eigenen Kurs zu den Themen IT-Sicherheit anbietet (“UEFA Cybersecurity and GDPR course”), wurden scheinbar noch nie Penetrationstests durchgeführt.