DFB-Hacker behaupten Passwortdiebstahl beim Deutschen Fußball-Bund
-
-
Lokalisiert von
Paul Pauli
Hacker behaupten, Passwörter beim Deutschen Fußball-Bund gestohlen zu haben, und teilen ihre Daten online. Recherchen der Cybernews-Redaktion zufolge lassen die vorliegenden Datenstichproben keine eindeutigen Rückschlüsse auf das angebliche Datenleck zu.
Angebliche Zugangsdaten des Deutschen Fußball-Bundes (DFB) tauchten kürzlich in einem bekannten Datenleck-Forum auf. Die Angreifer hielten sich mit Details bedeckt und veröffentlichten lediglich eine Stichprobe der angeblich entwendeten Daten.
Der DFB ist die oberste Instanz für Fußball, Futsal und Beachsoccer in Deutschland. Mit rund 8 Millionen Mitgliedern zählt der Verband zu den größten Sportverbänden weltweit.
Die Website des DFB richtet sich an ein breites Publikum, von Fans bis hin zu aktiven Fußballspielern. Dort finden Nutzer aktuelle Informationen rund um den deutschen Fußball, Ticketneuigkeiten und vieles mehr.
Wir haben den DFB um eine Stellungnahme gebeten und aktualisieren diesen Artikel, sobald eine Antwort vorliegt.
Inzwischen hat unser Rechercheteam die von den Angreifern beigefügte Datenstichprobe unter die Lupe genommen. Den Experten zufolge enthält die Stichprobe zwar Logindaten und Passwörter, es sei jedoch unklar, ob diese tatsächlich DFB-Nutzern zuzuordnen sind.
Der Großteil der in der Stichprobe sichtbaren Domains stammt offenbar von Einzelpersonen, was eher darauf hindeutet, dass die DFB-Domain selbst nicht betroffen ist. Die Sicherheitsforscher weisen jedoch darauf hin, dass Spieler ihre Konten möglicherweise mit privaten E-Mail-Adressen erstellt haben könnten.
Die enthaltenen Informationen lassen sich keinem bekannten Fußballspieler oder Trainer eindeutig zuordnen.
Selbst wenn die Daten echt sind, bedeutet das nicht zwangsläufig, dass die Angreifer in die Systeme des DFB eingedrungen sind. Das Team hält es für möglich, dass die Zugangsdaten über Infostealer-Schadsoftware oder Credential-Stuffing-Angriffe erbeutet wurden.
Sollte das Datenleck bestätigt werden, würden die Cybersicherheitsrisiken für die betroffenen Personen erheblich steigen. Angreifer könnten unbefugten Zugriff nutzen, um weitere personenbezogene Daten abzugreifen, die nach einer erfolgreichen Anmeldung im DFB-System zugänglich wären.
Fußballverbände im Visier von Hackern
Fußballverbände und -vereine sind bei Hackern ein beliebtes Angriffsziel. So drangen Angreifer etwa im vergangenen März in die Systeme von Ajax Amsterdam, dem niederländischen Rekordmeister, ein und stahlen dabei personenbezogene Daten von mehr als 300.000 Fans.
Im vergangenen September verschafften sich Angreifer Zugang zu Daten des französischen Fußball-Dachverbandes Fédération Française de Football (FFF), indem sie die Softwareplattform kompromittierten, über die alle lizenzierten Fußballvereine des Landes administrative Aufgaben abwickeln – darunter auch die Spielerregistrierung beim Verband.
Mitunter legen Organisationen sensible Daten auch unbeabsichtigt offen. Im Jahr 2024 stellte das Rechercheteam von Cybernews fest, dass der australische Fußballverband Football Australia Zugriffsschlüssel im Klartext offengelegt hatte, potenziell genug, um auf bis zu 127 digitale Speicher-Container zuzugreifen.
In einem weiteren Fall entdeckte das Team, dass der Aston Villa Football Club (AVFC) aus der Premier League einen öffentlich zugänglichen Amazon Web Services (AWS) S3-Bucket betrieben hatte, der personenbezogene Daten von 135.770 Personen enthielt – ein gefundenes Fressen für Spear-Phishing, Social Engineering und Identitätsdiebstahl.
Entdecke weitere exklusive Cybernews-Reportagen auf YouTube.