Datenpanne beim Urban Sports Club: Tausende Datensätze geleakt – Schutz der Privatsphäre in Gefahr
Beim Berliner Sportanbieter Urban Sports Club kam es zu einer erheblichen Verletzung des Datenschutzes. In einem öffentlich zugänglichen Verzeichnis bei Google Cloud Storage wurden zehntausende Datensätze mit personenbezogenen Informationen entdeckt. Unter den Daten befanden sich auch Kopien von Personalausweisen sowie tausende PDF-Dateien mit Buchhaltungsdaten. Mittlerweile hat der Fitnessanbieter die Datenpanne behoben.
Der Urban Sports Club bietet seinen Mitgliedern in Deutschland und fünf weiteren europäischen Ländern eine große Auswahl an Sportangeboten bei Partnerunternehmen. Das Angebot reicht von traditionellen Fitnessstudios über Wellnessangebote bis hin zu modernen Trendsportarten wie Trampolinspringen oder Bouldern. Die Mitglieder profitieren davon, dass sie keine separaten Mitgliedschaften bei verschiedenen Studios oder Vereinen abschließen müssen und bei vielen Partnern Rabatte für ihre sportlichen Aktivitäten erhalten. Im Gegenzug überlassen sie dem Plattformbetreiber ihre persönlichen Informationen in der Erwartung, dass diese sorgfältig behandelt werden.
Offensichtlich wurde diese Erwartung nicht erfüllt, da das Ausmaß der Datenpanne beim Sportanbieter enorm ist: Ein anonymer Informant berichtete der Redaktion von Security, dass er insgesamt 900.000 Dateien in dem Cloud-Speicherkonto entdeckt hat. Zudem stieß er auf ein Angebot in einem Darknet-Forum, in dem der Datensatz zum Verkauf angeboten wurde. Das Angebot war etwa zwei Jahre alt.
Die Zahlen sprechen für sich: Über 90.000 PDFs, mehr als 800.000 Bilddateien (wobei einige zum normalen Betrieb der Webseite gehörten) und fast 8.700 CSV-Dateien wurden im Google-Storage-Konto gefunden. Die Redaktion konnte die Quelle des Datenlecks nachverfolgen und stieß dabei auf CSV-Dateien, die Informationen wie Namen, Rechnungs- und E-Mail-Adressen sowie Mitgliedschaftsinformationen für etwa 50.000 Mitglieder enthielten. Zudem waren auch Check-In-Daten für Besuche der Kunden bei Partnern des Urban Sports Club enthalten. Mithilfe dieser Informationen können Bewegungsprofile der Mitglieder erstellt und ihre sportlichen Präferenzen erforscht werden. Die Redaktion hat auch Gutschriften gefunden, die an Partner der Sport-App gesendet wurden.
Urban Sports Club hat eine offizielle Erklärung veröffentlicht, in der das Unternehmen sein Bedauern über den Vorfall zum Ausdruck bringt und versichert, intensiv an der Aufklärung zu arbeiten. Es ist keine Seltenheit, dass es aufgrund fehlerhafter Konfiguration von Webservern oder Cloud-Speicherdiensten zu Datenlecks kommt. Erst kürzlich wurde eine Sicherheitslücke beim Hersteller der Kita-App Stayinformed entdeckt.
Solche Datenschutzverletzungen verdeutlichen erneut die Notwendigkeit eines strengen Umgangs mit personenbezogenen Daten. Unternehmen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und potenzielle Schwachstellen identifizieren, um solche Vorfälle zu vermeiden. Datenschutz muss ein oberstes Gebot sein, um das Vertrauen der Kunden zu wahren.
Schlagwörter: Urban + Club + Google Cloud
Wie bewerten Sie den Schreibstil des Artikels?