Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
E-Mail-Adressen Leak bei der UEFA! - E-Mail-Sicherheit und Kommunikationsschutz
Security Awareness

E-Mail-Adressen Leak bei der UEFA!

Eine Liste mit Account-Daten konnte bei der UEFA eingesehen werden. Der E-Mail-Adressen Leak ist skurril, da die Daten gelöscht werden sollten.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 10. Februar 2025 4 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Ein fehlerhaft konfigurierter, öffentlich erreichbarer Webserver der UEFA hat rund 15.000 E-Mail-Adressen samt Vornamen gelöschter Nutzerkonten preisgegeben - der älteste Eintrag trägt den Zeitstempel 10. Dezember 2020. Paradoxerweise erschienen Accounts erst in der exponierten JSON-Datei, nachdem Nutzer sie aktiv löschten: Eine defekte Schnittstelle zur internen Datenschutz-Software leitete die zu löschenden Datensätze unbemerkt in das öffentlich abrufbare Dokument. Der Server war ohne jeglichen Authentifizierungsschutz weltweit erreichbar - ein klarer DSGVO-Verstoß, den die UEFA nach Meldung schnell behob. Wer seinen Account im betroffenen Zeitraum löschte, muss mit gezielten Phishing-Angriffen rechnen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (3 Abschnitte)

Die UEFA ist vor allem als Verband hinter der aktuell laufenden Europameisterschaft häufig in den Nachrichten vertreten. Doch eine Datenpanne, die einen E-Mail-Adressen Leak zur Folge hat, ist die neueste Nachricht über die UEFA.

Öffentlicher Webserver ist der Grund für den E-Mail-Adressen Leak

Die Union of European Football Associations, kurz UEFA, ist der europäische Fußballverband mit Hauptsitz in der Schweiz. Neben dem Veranstalten von großen Fußballturnieren wie der UEFA Champions League oder der Europameisterschaft ist der gemeinnützige Verein auch mit einer eigenen Academy vertreten. Die Haupttätigkeiten sind jedoch die Fußballveranstaltungen, für die die Fans auch Tickets direkt bei der UEFA erwerben können. Um sich jedoch ein Ticket kaufen zu können oder auch in der Online-Academy einen Teilnehmer-Platz zu bekommen, muss man sich zunächst einen Account bei der UEFA anlegen. Dieser Account benötigt neben einem Namen eine gültige E-Mail-Adresse. Etwa 15.000 solcher E-Mail-Adressen konnten nun öffentlich aus dem Netz eingesehen werden und stellen damit einen E-Mail-Adressen Leak dar. Laut des Online-Magazins heise, handelt es sich um eine JSON-Datei, die neben den E-Mail-Adressen noch den Vornamen sowie Metadaten der einzelnen Accounts auflistet. Der erste Eintrag der Liste wies einen Zeitstempel vom 10.12.2020 auf, der letzte Eintrag war der Zeitpunkt der Erstellung des Artikels seitens heise.

Löschen führt zur Speicherung ?!

Die große Frage ist, wie kommen die Daten der UEFA-Accounts in diese fehlerhaft konfigurierte Datenbank. Um diese Frage beantworten zu können, haben die Redakteure einen eigenen Test-Account erstellt und kontrolliert, ab wann dieser Account in der Datenbank auftaucht. Das sehr überraschende Ergebnis dieser Analyse ist, dass der Account erst in der Datenbank aufgeführt wird, wenn der Nutzer den Account löscht! Eine Erklärung hierfür könnte sein, dass dieses Dokument der gelöschten Accounts an eine externe Datenschutz-Software weitergeleitet werden soll, die sich um den gesamten Datenschutz kümmert und somit auch dokumentiert, wann welche Accounts gelöscht werden. Das genau an dieser Schnittstelle, zu der Datenschutz-Software nun ein Fehler passiert ist, sorgt dafür, dass genau die gelöschten Accounts öffentlich in dem E-Mail-Adressen Leak zu finden sind. Mit der DSGVO haben Accountbesitzer das Recht auf Löschung. Das bedeutet Unternehmen bzw. Organisationen, die personenbezogene Daten speichern, wie bspw. die E-Mail-Adresse und den Namen, müssen die Möglichkeit der Löschung bereitstellen. Diese Löschung können wir auf der UEFA-Seite leicht in den Konto-Einstellungen finden, jedoch sollten die Daten anschließend nicht in einer Datenbank auftauchen, die öffentlich einsehbar ist. Da die UEFA ihre Webseite in der EU bereitstellt und dort die DSGVO gilt, hat die UEFA durch diesen fehlerhaften und fahrlässigen Umgang mit Daten einen Verstoß gegen die DSGVO begangen. Zum aktuellen Zeitpunkt gibt es keine öffentlichen Aussagen zu den weiteren Ereignissen dieses Verstoßes. Nachdem der E-Mail-Adressen Leak an die UEFA gemeldet wurde, haben diese den Fehler behoben und sich selbst die Schuld gegeben. Wer in dem oben genannten Zeitraum einen Account auf der Webseite der UEFA gelöscht hat, kann davon ausgehen, dass er in dem E-Mail-Adressen Leak auftaucht. Dementsprechend kann es vorkommen, dass in nächster Zeit vermehrt Phishing-Mails in dem Postfach auftauchen. Von weiteren Schäden sind die Accounts zum aktuellen Zeitpunkt jedoch nicht betroffen.

Trivialer Fehler sorgt für E-Mail-Adressen Leak

Der Fehler hätte seitens der UEFA gar nicht erst auftreten dürfen. Neben dem Diskussionspunkt der Datenspeicherung ist ein öffentlich erreichbarer Webserver, der zudem Account-Daten speichert, immer eine große Gefahr. Umso weniger Systeme öffentlich erreichbar sind, desto weniger Angriffspunkte stellt man den Angreifern zur Verfügung. Muss ein gewisser Dienst mit sensiblen Daten aus dem Internet erreichbar sein, muss dieser mit guten Passwörtern und einem sicheren Authentifizierungsprozess geschützt sein. Der Webserver der UEFA war durch keine Art von Authentifizierungsprozess geschützt und somit für jede Person weltweit einsehbar. Solche Fehler würden im Rahmen eines Penetrationstests sofort auffallen und anschließend behoben werden. Obwohl die UEFA einen eigenen Kurs zu den Themen IT-Sicherheit anbietet ("UEFA Cybersecurity and GDPR course"), wurden scheinbar noch nie Penetrationstests durchgeführt.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV