Die persönlichen Daten von Millionen von Fußballteilnehmern in ganz Australien sind möglicherweise online verloren gegangen, nachdem eine Sicherheitslücke in der digitalen Infrastruktur von Football Australia (FA) festgestellt wurde.
Laut der unabhängigen Cybersicherheits-Forschungspublikation Cybernews.com hat das nationale Leitungsgremium versehentlich digitale „Schlüssel“ im Klartext, darunter auch „geheime Schlüssel“, im öffentlich zugänglichen Code seiner Subdomain zurückgelassen, was bedeutet, dass jeder darauf zugreifen kann, wenn er dies tut wusste, wo ich suchen musste.
Diese Schlüssel verschafften den Forschern der Publikation angeblich Zugriff auf 127 digitale Speichercontainer, die Daten und private Details von Breitensportlern bis hin zu Nationalspielern enthalten.
Cybernews behauptet, dass die verschiedenen Datenmengen persönliche Daten, Verträge und Reisepässe von Spielern sowie zusätzliche Daten zu Ticketkaufinformationen und detaillierte Quellcodes und Skripte der digitalen Infrastruktur von FA umfassten.
Die Veröffentlichung wurde am Donnerstag von ABC kontaktiert, muss jedoch noch Beweise für die Daten vorlegen, die sie erhalten haben, um ihren Zugriff zu überprüfen.
„Obwohl wir die Gesamtzahl der betroffenen Personen nicht bestätigen können, da hierfür das Herunterladen des gesamten Datensatzes erforderlich wäre, was im Widerspruch zu unseren Richtlinien zur verantwortungsvollen Offenlegung steht, gehen wir davon aus, dass jeder Kunde oder Fan des australischen Fußballs betroffen war“, sagten die Forscher.
„Die offengelegten Daten, darunter Verträge und Dokumente von Fußballspielern, stellen eine ernsthafte Bedrohung dar, da Angreifer diese Informationen für Identitätsdiebstahl, Betrug oder sogar Erpressung ausnutzen könnten, was die dringende Notwendigkeit verbesserter Sicherheitspraktiken und Maßnahmen zum Schutz sensibler Daten unterstreicht.“
Cybernews gab an, FA wegen der Datenschutzverletzung kontaktiert zu haben und dass die Behörde das Problem behoben habe, bevor die Forscher ihre Geschichte veröffentlicht hätten.
Sie behaupten, der wahrscheinlichste Grund für die Datenschutzverletzung sei menschliches Versagen gewesen, „da ein Entwickler wahrscheinlich versehentlich eine Referenz in einem Skript versteckt hatte, das der Öffentlichkeit zugänglich gemacht wurde. Dennoch stellt der Fehler einen kritischen Vorfall mit der Offenlegung von Daten dar.“
Am Mittwochnachmittag wurde die zentrale Registrierungsplattform PlayFootball der FA für einige Stunden offline geschaltet und gab „504-Fehler“-Meldungen zurück, als Personen versuchten, sich für bevorstehende Wettbewerbe zu registrieren. Später am Abend ging die Plattform wieder online.
In einer Erklärung vom Donnerstag sagte die FA, dass sie „von Berichten über einen möglichen Datenschutzverstoß Kenntnis habe und die Angelegenheit vorrangig untersucht“.
„Football Australia nimmt die Sicherheit aller seiner Interessengruppen ernst.
„Wir werden unsere Stakeholder auf dem Laufenden halten, sobald wir weitere Details festlegen.“
Es ist nicht bekannt, wie lange diese Sicherheitslücke in der digitalen Infrastruktur von FA besteht oder ob in dieser Zeit andere Personen oder Gruppen private Informationen identifiziert und anschließend darauf zugegriffen haben.
Dies ist der jüngste in einer Reihe von Massendatenverstößen, durch die die Daten von Millionen von Menschen online preisgegeben wurden.
Letztes Jahr wurde nach einem ähnlichen Vorfall bei Optus ein neues Gesetz eingeführt, das die Geldstrafen von 50 Millionen US-Dollar oder mehr für Unternehmen deutlich erhöhte, die Kundendaten verlieren, verletzen oder der Öffentlichkeit zugänglich machen.