Urban Sports Club informiert über einen Datenschutzvorfall
Bei Urban Sports Club handelt es sich um ein Programm für Firmenfitness, welches auch in Deutschland sehr populär ist. Per E-Mail informiert man Kunden derzeit über einen Datenschutzvorfall. Sehr wahrscheinlich seien im Rahmen des Vorfalls auch personenbezogene Daten betroffen, sprich: abgeflossen.
Urban Sports Club gibt an, dass es die Lücke wohl über einen bestimmten Zeitraum gab. Nachdem man am 26. März 2024 informiert wurde, habe man diese direkt am 27. März 2024 geschlossen und auch die Behörden darüber in Kenntnis gesetzt. Jetzt zum 28. März erfolgte immerhin prompt und zügig kommuniziert die Nachricht an die Nutzer.
Das Unternehmen verspricht eine schnelle Aufarbeitung. Im Zuge derer wolle man zu einem späteren Zeitpunkt weitere Details bekannt geben und betroffene Mitglieder separat informieren. Derzeit scheint man proaktiv erst einmal alle Mitglieder vom Vorfall in Kenntnis zu setzen. Details, welche Daten und von welchen Nutzern betroffen sind, sind derzeit nicht bekannt. Dies soll später separat erfolgen.
Laut Informationen, die der Spiegel wohl von einem Tippgeber erhalten hat, seien Daten von Tausenden Nutzern betroffen. So sei eine Kundendatenbank mit Fotos, Daten von Besuchen in Sporteinrichtungen öffentlich zugänglich gewesen. Man habe hier, ließ das Unternehmen auf Rückfrage verlauten, Informationen über spezifische URLs offengelegt. Derzeit kann man nicht ausschließen, dass hierunter auch personenbezogene Daten sind. Laut anonymen Hinweisgeber ist von 50.000 Kundendaten, wie Namen, Adressen, Telefonnummern und E-Mail-Adressen auf einem frei zugänglichen Cloud-Speicher die Rede. Darunter auch Fotos von Personalausweisen und Reisepässen. Daneben auch die besagten Check-In-Daten. Die Daten waren wohl mehrere Jahre öffentlich und wurden laut Spiegel-Informationen bereits 2022 in einem Darknetforum angeboten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
wie können überhaupt die Personalausweise oder Reisepässe gespeichert gewesen sein?! nach Verifizierung könnten diese doch, in der Theorie, direkt gelöscht werden..
Das frage ich mich auch, zu mal ich mir sicher bin, dass diese bei der Anmeldung überhaupt nicht erforderlich gewesen waren. Außer meiner Adresse und meiner Kreditkarte sind da keine weiteren Daten vorhanden.
vor allem warum brauchen die den perso?! personalausweisgesetz ist dahingehend ja auch eindeutig. hoffentlich wurden alle nicht notwendigen dinge in den scans geschwärzt.
Die meisten Firmen löschen in der Realität Daten generell nicht. Das höchste der Gefühle ist ein „Markieren als gelöscht“, aber kein Löschvorgang im eigentlichen Sinne.
Heute Nacht kam die nächste Mail: „Ein erstes Ergebnis: Es sind keine Paypal-, Debitkarten- und Kreditkarten-Informationen unserer Mitglieder betroffen.“
Ehrlich gesagt, halte ich diese auch für am Unproblematischsten. Man hätte eine ungerechtfertigte Belastung bemerkt, die Karte sperren lassen und hätte eine neue erhalten. Adress-, Telefon- und vorallem Geburtsdaten finde ich viel sensibler, da sie für einen Identitätsdiebstahl missbraucht werden können.
Ich kann nur Jedem empfehlen bei Registrierungen zu prüfen, ob bestimmte Daten wirklich erforderlich bzw. Pflichtfelder sind. Ich selbst war seiner Zeit auch bei Mastercard Priceless betroffen und war froh keine weiteren Daten dort hinterlegt zu haben.