Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

E-Mail-Adressen Leak bei der UEFA!

M.Sc. Jan Hörnemann

Die UEFA ist vor allem als Verband hinter der aktuell laufenden Europameisterschaft häufig in den Nachrichten vertreten. Doch eine Datenpanne, die einen E-Mail-Adressen Leak zur Folge hat, ist die neueste Nachricht über die UEFA.

Öffentlicher Webserver ist der Grund für den E-Mail-Adressen Leak

Die Union of European Football Associations, kurz UEFA, ist der europäische Fußballverband mit Hauptsitz in der Schweiz. Neben dem Veranstalten von großen Fußballturnieren wie der UEFA Champions League oder der Europameisterschaft ist der gemeinnützige Verein auch mit einer eigenen Academy vertreten. Die Haupttätigkeiten sind jedoch die Fußballveranstaltungen, für die die Fans auch Tickets direkt bei der UEFA erwerben können.

Um sich jedoch ein Ticket kaufen zu können oder auch in der Online-Academy einen Teilnehmer-Platz zu bekommen, muss man sich zunächst einen Account bei der UEFA anlegen. Dieser Account benötigt neben einem Namen eine gültige E-Mail-Adresse. Etwa 15.000 solcher E-Mail-Adressen konnten nun öffentlich aus dem Netz eingesehen werden und stellen damit einen E-Mail-Adressen Leak dar.

Laut des Online-Magazins heise, handelt es sich um eine JSON-Datei, die neben den E-Mail-Adressen noch den Vornamen sowie Metadaten der einzelnen Accounts auflistet. Der erste Eintrag der Liste wies einen Zeitstempel vom 10.12.2020 auf, der letzte Eintrag war der Zeitpunkt der Erstellung des Artikels seitens heise.

Löschen führt zur Speicherung ?!

Die große Frage ist, wie kommen die Daten der UEFA-Accounts in diese fehlerhaft konfigurierte Datenbank. Um diese Frage beantworten zu können, haben die Redakteure einen eigenen Test-Account erstellt und kontrolliert, ab wann dieser Account in der Datenbank auftaucht. Das sehr überraschende Ergebnis dieser Analyse ist, dass der Account erst in der Datenbank aufgeführt wird, wenn der Nutzer den Account löscht!

Eine Erklärung hierfür könnte sein, dass dieses Dokument der gelöschten Accounts an eine externe Datenschutz-Software weitergeleitet werden soll, die sich um den gesamten Datenschutz kümmert und somit auch dokumentiert, wann welche Accounts gelöscht werden. Das genau an dieser Schnittstelle, zu der Datenschutz-Software nun ein Fehler passiert ist, sorgt dafür, dass genau die gelöschten Accounts öffentlich in dem E-Mail-Adressen Leak zu finden sind.

Mit der DSGVO haben Accountbesitzer das Recht auf Löschung. Das bedeutet Unternehmen bzw. Organisationen, die personenbezogene Daten speichern, wie bspw. die E-Mail-Adresse und den Namen, müssen die Möglichkeit der Löschung bereitstellen. Diese Löschung können wir auf der UEFA-Seite leicht in den Konto-Einstellungen finden, jedoch sollten die Daten anschließend nicht in einer Datenbank auftauchen, die öffentlich einsehbar ist.

Da die UEFA ihre Webseite in der EU bereitstellt und dort die DSGVO gilt, hat die UEFA durch diesen fehlerhaften und fahrlässigen Umgang mit Daten einen Verstoß gegen die DSGVO begangen. Zum aktuellen Zeitpunkt gibt es keine öffentlichen Aussagen zu den weiteren Ereignissen dieses Verstoßes. Nachdem der E-Mail-Adressen Leak an die UEFA gemeldet wurde, haben diese den Fehler behoben und sich selbst die Schuld gegeben.

Wer in dem oben genannten Zeitraum einen Account auf der Webseite der UEFA gelöscht hat, kann davon ausgehen, dass er in dem E-Mail-Adressen Leak auftaucht. Dementsprechend kann es vorkommen, dass in nächster Zeit vermehrt Phishing-Mails in dem Postfach auftauchen. Von weiteren Schäden sind die Accounts zum aktuellen Zeitpunkt jedoch nicht betroffen.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Trivialer Fehler sorgt für E-Mail-Adressen Leak

Der Fehler hätte seitens der UEFA gar nicht erst auftreten dürfen. Neben dem Diskussionspunkt der Datenspeicherung ist ein öffentlich erreichbarer Webserver, der zudem Account-Daten speichert, immer eine große Gefahr. Umso weniger Systeme öffentlich erreichbar sind, desto weniger Angriffspunkte stellt man den Angreifern zur Verfügung. Muss ein gewisser Dienst mit sensiblen Daten aus dem Internet erreichbar sein, muss dieser mit guten Passwörtern und einem sicheren Authentifizierungsprozess geschützt sein.

Der Webserver der UEFA war durch keine Art von Authentifizierungsprozess geschützt und somit für jede Person weltweit einsehbar. Solche Fehler würden im Rahmen eines Penetrationstests sofort auffallen und anschließend behoben werden. Obwohl die UEFA einen eigenen Kurs zu den Themen IT-Sicherheit anbietet („UEFA Cybersecurity and GDPR course“), wurden scheinbar noch nie Penetrationstests durchgeführt.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen