Urban Sports Club bestätigt Datenleck
Durch ein Datenleck bei Urban Sports Club lagen personenbezogene Daten von Tausenden Mitgliedern offen im Netz. Wie der Sportanbieter am Freitag bestätigte, waren Informationen wie Namen, E-Mail-Adressen, Fotos und sogenannte Check-In-Daten offen im Internet aufrufbar. Für den Zugang war es nur nötig, die korrekte Internetadresse zu kennen.
Auch die zuständige Berliner Beauftragte für Datenschutz bestätigte gegenüber dem Spiegel, dass “Daten von Tausenden Mitgliedern ohne Passwortschutz im Netz waren und dort für jedermann abrufbar, der den Speicherort kannte”. Bestätigt sei, dass eine Kundendatenbank, Ausweisfotos und Daten von Besuchen in den teilnehmenden Sporteinrichtungen offen lagen. Eine Prüfung des Falls sei eingeleitet.
Zu den Betroffen gehören einer Mitteilung der Firma zufolge Mitglieder, die sich vor dem 16. September 2020 bei dem Dienst angemeldet hatten. Aktuelle Datenbanken sowie Zahlungs- und Kontodaten seien nicht Teil des Leaks. Auch Passwörter seien “mit an Sicherheit grenzender Wahrscheinlichkeit” nicht betroffen, schreibt das Unternehmen. Allerdings befanden sich Buchführungsdaten und somit Kontoinformationen von Partnerunternehmen in den zugänglichen Dateien.
Die Firma teilte mit, alle Betroffenen inzwischen per E-Mail informiert zu haben. Insgesamt zählt das Unternehmen eigenen Angaben zufolge über 100.000 zahlende Abonnenten.
Urban Sports Club bietet gegen eine monatliche Mitgliedsgebühr pauschalen Zugang zu teilnehmenden Sportstätten wie Fitnessstudios, Schwimmhallen oder Yogaschulen. Das Berliner Unternehmen dient dabei als Vermittler zwischen den Betreibern und den Kundinnen und Kunden. Diese Registrieren ihren Besuch per App, wenn sie eine Sportstätte betreten.
Check-In-Daten verraten Standorte
Details über den Vorfall spart Urban Sports Club in seiner Mitteilung aus. Es heißt nur, es habe sich um einen menschlichen Fehler gehandelt und nicht um einen “Hackerangriff”. Der betroffene Cloud-Ordner habe ältere Sicherungsdateien enthalten.
Näheres zu dem Datenleck berichtete unter anderem die Nachrichtenseite Heise Online mit Bezug auf einen anonymen Hinweisgeber: Demnach waren 900.000 Datensätze ungeschützt in der Google-Cloud gespeichert – darunter Tausende PDF-, Bild- und Tabellendateien. In letzteren hätten sich Namen, Rechnungs- und E-Mail-Adressen von rund 50.000 Mitgliedern befunden.
Auch enthielten die Dateien sogenannte Check-In-Daten, an denen sich ablesen lässt, in welchem Zeitraum eine Person in einer der Sportstätten war, die mit Urban Sports Club zusammenarbeiten. Mithilfe dieser Informationen ist nicht nur einsehbar welche Sportarten eine Person bevorzugt – es lassen sich auch Bewegungsprofile erstellen.
Die meisten Dateien stammten laut Heise aus den Jahren 2017 bis 2019. Zudem hätten sich Datensätze von Mitgliedern gefunden, die bereits vor neun Jahren ihre Mitgliedschaft gekündigt hatten.
Daten standen zum Verkauf
Wie lange die Informationen bereits abrufbar waren, ist nicht bekannt. Dem Informanten zufolge gibt es jedoch Hinweise darauf, dass die Daten auch von Dritten abgefischt wurden. Die Person gab gegenüber dem Spiegel an, ein Teil der Informationen habe seit Juni 2022 in einem Forum im sogenannten Darknet zum Verkauf gestanden.
Sollten die personenbezogenen Daten tatsächlich bereits in die Hände Dritter gelangt sein, können Betroffene dagegen nichts mehr ausrichten. Allerdings haben sie nach Datenschutzgrundverordnung das Recht, ihre Informationen bei Urban Sports Club löschen zu lassen, sofern sie nicht mehr für den Geschäftsbetrieb gebraucht werden. Dazu müssen sie sich formlos an das Unternehmen wenden. (hcz)