Die UEFA-Webseite leakte E-Mail-Adressen von Nutzerprofilen

02. Juli 2021, 08:08 |  1 Kommentar

Die UEFA hat Daten aus den Profilen von über 15.000 Fußball-Fans ungeschützt ins Netz. Das Datenleck tropfte bis c't den Fußballverband darauf aufmerksam machte.



Bei einer c't Bei der Recherche wurde zufällig eine Subdomain der UEFA entdeckt, welche die Vornamen und E-Mail-Adressen von Ticketbestellern im JSON-Format ausspuckte.

Ein zweiter Blick offenbarte einen ungeschützten, simplen Webdienst als REST-API: Mit dem Parameter ...

Code:
page


... ließ sich einfach durch die Datensätze blättern.

Das API listete Vorname, E-Mail-Adresse und Metadaten auf. Das erste Nutzerprofil hatte einen Zeitstempel vom 10.12.2020. Der letzte Eintrag war zum Zeitpunkt der Untersuchung erst ein paar Minuten alt. Der Datenberg bestand aus 15.800 Datensätzen und wuchs weiter.

Nach einem Hinweis von c't hat die UEFA das API innerhalb 24 Stunden abgeschaltet und bestätigt, dass sie den Fortschritt von Löschanträgen für Benutzerkonten mit der OneTrust-Software dokumentiert.

Derzeit prüft die UEFA noch, ob sie die betroffenen Fans über den Vorfall informiert. Juristisch notwendig sei dies nach Einschätzung der UEFA womöglich jedoch nicht.





Kurze URL:


Bewertung: 2.0/5 (5 Stimmen)


Das könnte Dich auch interessieren:


Ähnliche News:

Weitere News:

Einen Kommentar schreiben

Du willst nicht als "Gast" schreiben? Logg Dich Hier ein.

Code:

Code neuladen

Kommentare
(1)

Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.




Kommentare:

Du hast bereits für diesen Kommentar abgestimmt...

;-)

Top