> Forums > Allgemeines Security Forum

Die UEFA-Webseite leakte E-Mail-Adressen von Nutzerprofilen

Erstellt
Jul. '21
letzte Antwort Antwort
1
Aufrufe
292
2
„Gefällt mir“
Abos
Noch keine
Fr., 02. Juli, 2021 um 8:08
#1

Die UEFA hat Daten aus den Profilen von über 15.000 Fußball-Fans ungeschützt ins Netz. Das Datenleck tropfte bis c't den Fußballverband darauf aufmerksam machte.



Bei einer c't Bei der Recherche wurde zufällig eine Subdomain der UEFA entdeckt, welche die Vornamen und E-Mail-Adressen von Ticketbestellern im JSON-Format ausspuckte.

Ein zweiter Blick offenbarte einen ungeschützten, simplen Webdienst als REST-API: Mit dem Parameter ...

Code:
page


... ließ sich einfach durch die Datensätze blättern.

Das API listete Vorname, E-Mail-Adresse und Metadaten auf. Das erste Nutzerprofil hatte einen Zeitstempel vom 10.12.2020. Der letzte Eintrag war zum Zeitpunkt der Untersuchung erst ein paar Minuten alt. Der Datenberg bestand aus 15.800 Datensätzen und wuchs weiter.

Nach einem Hinweis von c't hat die UEFA das API innerhalb 24 Stunden abgeschaltet und bestätigt, dass sie den Fortschritt von Löschanträgen für Benutzerkonten mit der OneTrust-Software dokumentiert.

Derzeit prüft die UEFA noch, ob sie die betroffenen Fans über den Vorfall informiert. Juristisch notwendig sei dies nach Einschätzung der UEFA womöglich jedoch nicht.



#######################

Kommentare usw. bitte in der C&M News:
https://ress.at/-news02072021080814.html


#######################


Fr., 02. Juli, 2021 um 21:20
#2

Oft denkt man sich schon was in den Köpfen gewisser Admins und Programmierern so vor sich geht, dass sie solche Sicherheitslücken schaffen ...

> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post abgestimmt...

;-)



Logo https://t.ress.at/CemGt/


Ähnliche Themen:











Top