Datenleck bei Urban Sports Club: Daten Tausender Mitglieder waren öffentlich
Tausende sensible Dateien des Fitnessanbieters lagen auf einem öffentlich zugänglichen Cloudspeicher. Bis zu 50.000 Kundendatensätze sind betroffen.
Peinlich: Die Mitgliederkartei von Urban Sports Club stand teilweise öffentlich im Netz.
(Bild: Stokkete/Shutterstock.com / Bearbeitung: heise online)
Beim Berliner Sportanbieter "Urban Sports Club" hat es eine massive Datenpanne gegeben. Zehntausende Datensätze mit personenbezogenen Daten lagen in einem öffentlich zugänglichen Verzeichnis bei Google Cloud Storage – dort fanden sich auch Kopien von Personalausweisen und tausende PDF-Dateien mit Buchhaltungsdaten. Der Fitnessanbieter hat das Leck mittlerweile gestopft.
"Urban Sports Club" vermittelt seinen Mitgliedern in Deutschland und fünf weiteren europäischen Ländern Sportangebote bei Partnerfirmen – vom klassischen Fitnessstudio über Wellnessangebote bis hin zu Trendsport wie Trampolinspringen oder Bouldern. Der Vorteil für die Mitglieder: Sie müssen keine Mitgliedschaft in mehreren Studios oder Vereinen eingehen und erhalten bei vielen Partnern Rabatte für ihre sportlichen Aktivitäten. Im Gegenzug vertrauen sie ihre personenbezogenen Daten dem Plattformbetreiber an, der diese mit entsprechender Umsicht behandeln sollte.
900.000 Dateien
Genau das ist offenbar nicht geschehen, denn das Datenleck beim Sportanbieter hat immense Ausmaße: Wie ein Betroffener der Redaktion von heise Security anonym berichtete, fand er insgesamt 900.000 Dateien in dem Cloud-Speicherkonto. Zudem habe er ein etwa zwei Jahre altes Angebot in einem Darknet-Forum gefunden, das die Daten zum Kauf feilbot. Die Zahlen sprechen Bände: Über 90.000 PDFs, mehr als 800.000 Bilddateien (die teilweise jedoch zum regulären Webseitenbetrieb gehörten) und immerhin knapp 8.700 CSV-Dateien lagen in dem Google-Storage-Konto.
Die Redaktion konnte das Datenleck nachvollziehen. So fanden wir in unseren Stichproben CSV-Dateien vor, die unter anderem Namen, Rechnungs- und E-Mail-Adressen sowie Mitgliedschaftsinformationen für etwa 50.000 Mitglieder enthalten, außerdem die sogenannten "Check-In-Daten" für Besuche der Kunden bei "Urban Sports Club"-Partnern. Mit diesen lassen sich Bewegungsprofile der Mitglieder erstellen und ihre sportlichen Vorlieben ausforschen. Auch Gutschriften an Partner der Sport-App – inklusive deren Bankverbindung – liegen der Redaktion vor.
Zahldaten wie etwa Kreditkarten- oder Kontonummern der Mitglieder finden sich in den Datensätzen jedoch nicht, wie ein Sprecher des Unternehmens gegenüber heise online bekräftigte.
(Bild: heise security / C.Kunz)
Wie lange die Daten offen im Internet herumlagen, ist unklar. Viele der Datensätze sind älteren Datums, etwa von 2017 und 2018, der älteste Datei-Zeitstempel jedoch von August 2019. Im Oktober 2022 wurden die Dateien zuletzt verändert. Mitte März dieses Jahres wandte sich der Betroffene – der aus Angst vor rechtlichen Repressalien aufgrund des sogenannten "Hackerparagrafen" anonym bleiben will – dann an die Berliner Datenschutzbeauftragte, die für Urban Sports Club zuständig ist. Bewegung kam in den Fall jedoch offenbar erst nach einer Anfrage am 26. März durch heise Security an den Sportanbieter und die Aufsichtsbehörde: Seit dem 27. März ist das Datenleck gestopft. Zuvor hatte Urban Sports Club mit mehreren Rückfragen bei der Redaktion um weitere Details zur Sicherheitslücke gebeten und diese auch bekommen.
Betroffene seit heute informiert
Die über 100.000 Mitglieder von Urban Sports Club hat der Anbieter nach eigener Aussage heute über die Datenpanne informiert. Der Berliner Datenschutzbeauftragten hat er jedoch bis zum Mittag des 28. März noch keine Information über das Leck zukommen lassen. Ein Vertreter der Behörde bestätigte, dass am 26. März ein anonymer Hinweis eingegangen sei, der zu einer Prüfung von Amts wegen geführt habe.
Betroffene sollten sich nun an den Anbieter wenden, um ihre Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) geltend zu machen. Besonders das Recht auf Löschung und "Vergessenwerden" nach Artikel 17 DSGVO erscheint hier wichtig – viele der Datensätze sind möglicherweise seit Jahren nicht mehr für den Geschäftsbetrieb der Fitnessplattform notwendig. So finden sich auch Daten von Mitgliedern, die ihre Mitgliedschaft bereits vor neun Jahren gekündigt haben.
Auch der Umgang des Anbieters mit der Sicherheitslücke wirft Fragen auf. Gegenüber heise Security gab die Pressesprecherin des Unternehmens bereits am 26. März zu Protokoll, die technischen und Sicherheitsteams sowie ein externer Pentest-Anbieter seien auf der Suche nach der Lücke – dass die Experten ein sperrangelweit offen stehendes Google-Storage-Konto übersahen, zeichnet ein zwiespältiges Bild der Datensicherheit bei Urban Sports Club.
Einen Fragenkatalog der Redaktion zu geplanten Maßnahmen und der Dauer der Datenschutzverletzung ließ die Pressestelle des Fitnessanbieters unbeantwortet. Am späten Donnerstagnachmittag erreichte uns noch eine knappe Stellungnahme des Unternehmens, in der es sein Bedauern über den Vorfall ausdrückt und verspricht, mit großer Intensität an der Aufklärung zu arbeiten.
Viele heise-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
Datenlecks aufgrund falsch konfigurierter Webserver oder Cloud-Speicherdienste sind keine Seltenheit. Erst vor wenigen Wochen hatte c't eine Schwachstelle beim Kita-App-Hersteller Stayinformed aufgedeckt.
Keine Zahldaten der Mitglieder sind enthalten, IBANs der Partner jedoch schon. Wir haben den Text entsprechend ergänzt.
(cku)
