Hacker leakt 150.000 Spielerpässe, nur Wochen vor der Fußball-WM

Spielerpässe und Daten von über 150.000 Spielern und Trainern der AFC und des Al Nassr FC wurden von einem Hacker mit angeblichen Verbindungen zu ShinyHunters im Netz veröffentlicht. Die Meldung kommt nur wenige Wochen vor dem Start der FIFA Fußball-Weltmeisterschaft 2026 und wirft massive Sicherheitsbedenken auf.
-
Ein Datenleck hat Daten von mehr als 150.000 Fußballspielern und Trainern offengelegt, darunter Pässe, Verträge, E-Mail-Adressen und AFC-Registrierungsdaten.
-
Das Timing ist besonders prekär: Mehrere AFC-Nationen stehen kurz vor der FIFA-Weltmeisterschaft, während sensible Spielerdaten bereits im Netz kursieren.
-
Das Leck könnte Betrug, Phishing, Vertragsmanipulationen und sogar physische Sicherheitsrisiken für prominente Spieler und Mannschaften begünstigen.
Der Hacker behauptet, am vergangenen Wochenende die „vollständige Datenbank der AFC-Spieler und -Trainer“ auf dem Hacker-Marktplatz PwnForums veröffentlicht zu haben, darunter Spieler- und Mitarbeiterdaten von Klubs wie dem Al Nassr FC. Das geht aus einem Dataminr-Lagebericht hervor, der am Montag veröffentlicht wurde.
Die AFC, die Asiatische Fußball-Konföderation, ist für den Fußball in Asien und Australien zuständig.
Al Nassr FC ist einer der bekanntesten Fußballklubs Saudi-Arabiens. Zum Kader gehören Weltklassespieler wie Cristiano Ronaldo (Portugal), Sadio Mané (Senegal), Marcelo Brozović (Kroatien) und Aymeric Laporte (Spanien).
„Die Kombination aus Reisepass-Scans, verifizierten E-Mail-Adressen und Vertragsdaten der Spieler ergibt ein äußerst verwertbares Paket für Finanzbetrug, Vertragsmanipulation und gezieltes Social Engineering gegen einige der bestbezahlten Athleten der Welt“, erklärt Jeanette Miller-Osborn, Field Cyber Intelligence Officer bei Dataminr.
Reisepässe, Ausweise und Spielerakten offengelegt
Der Hacker hat auf PwnForums mehrere Proben der gestohlenen Dateien veröffentlicht und behauptet, über eine enorme Menge sensibler Daten des Verbands zu verfügen, darunter Reisepässe, Verträge, E-Mail-Adressen und Registrierungsunterlagen der AFC Champions League Elite.
Zu den weiteren Details in den geleakten Daten zählen vollständige Rechtsnamen, Reisepassnummern und -scans, Geburtsdaten, Nationalitäten, Spielerpositionen, AFC-IDs, Klubnamen, Spieldetails sowie Informationen zu Spielstätten.
Insgesamt sollen die Daten von 69.000 Spielern und 81.000 Trainern kompromittiert worden sein.
Das Datenleck gewinnt zusätzlich an Brisanz, da mehrere AFC-Mitgliedsverbände an der FIFA-Weltmeisterschaft 2026 teilnehmen werden, die vom 11. Juni bis zum 19. Juli in Kanada, Mexiko und den USA stattfindet. Südkorea spielt bereits am Eröffnungstag.
Weitere teilnehmende AFC-Mitgliedsverbände sind Japan, Australien, Iran und Saudi-Arabien.
Interessant ist, dass der Hacker behauptet, die berüchtigte Erpressergruppe ShinyHunters hätte den Leak-Beitrag mitorganisiert. Weiterhin bezeichnet er den Vorfall als „größtes Datenleck in der Geschichte des Fußballs“.
Derweil bezeichnet Dataminr den Hacker als „einen Forum-Akteur, der die Glaubwürdigkeit von ShinyHunters für sich nutzt“, und schreibt ihm in erster Linie finanzielle Motive zu.
„Ein persönlicher Seitenhieb mit Bezug auf rivalisierende Fußball-Fan-Communitys deutet darauf hin, dass der Akteur tief in der Fußball-Fankultur verwurzelt ist und möglicherweise gezielt öffentliche Kontroversen provozieren will. Unabhängig davon stellen der Besitz und die Veröffentlichung dieser Daten eine zwar begrenzte, aber ernsthafte Bedrohung für die physische Sicherheit im Vorfeld der Weltmeisterschaft dar“, so Miller-Osborn über den Bedrohungsakteur.
Der Dataminr-Blog bestätigt zudem, dass die kompromittierten Daten „aktuell, verifiziert und operativ relevant“ seien.
Has your password leaked?
Die nahende WM verschärft die Lage
Dataminr warnt, die offengelegten Daten könnten zu schwerem Identitätsbetrug und erheblichen Sicherheitsrisiken für Spieler, Agenten, Klubs und Rechtsabteilungen führen und in mehreren AFC-Mitgliedsstaaten sogar nationale Sicherheitsbedenken aufwerfen.
„Die Überschneidung zwischen den geleakten AFC-Registrierungsdaten und den aktiven FIFA-Turnierkadern, sobald diese eingereicht wurden, verbindet die Datensätze mit Personen, deren Bewegungen, Unterkünfte und Zeitpläne während des Turniers öffentlich bekannt sind“, erklärt Miller-Osborn.
„Das schafft neben den Cyber- und Finanzrisiken eine zwar begrenzte, aber ernsthafte Bedrohung für die physische Sicherheit“, fügte sie hinzu.
Das Risiko könnte nach der Weltmeisterschaft noch dringlicher werden, wenn die Zeit der Sommertransfers kommt und Fußballklubs, Agenten und Spieler bedeutende Verträge aushandeln, darunter Handgeld, Bildrechte und Ablösesummen.
Dataminr ruft Klubs, Ligen, Verbände und Geschäftspartner dazu auf, ihre Speicherung von Athletendaten zu überprüfen, Schnittstellen zu Drittanbietern abzusichern, kompromittierte Zugangsdaten zu erneuern und sich auf mögliche Phishing-Angriffe in der Folge vorzubereiten.
Entdecke weitere exklusive Cybernews-Reportagen bei YouTube.