Update zum Datenschutzvorfall
Liebe Mitglieder & Partner
Am 26. März 2024 haben wir Kenntnis davon erhalten, dass bei uns ein Datenschutzvorfall vorliegt. Wir können nicht ausschließen, dass über spezifische URL-Links personenbezogene Daten abgerufen wurden. Dazu können beispielsweise Namen, E-Mail-Adressen, Fotos sowie Mitglieder-Check-In-Daten gehören.
Nachdem wir davon Kenntnis erlangt haben, haben wir sofort reagiert. Die Lücke ist seit dem 27. März 2024 geschlossen. Unser Team arbeitet weiter mit Hochdruck daran, den Vorgang, dessen Umfang und Auswirkungen aufzuarbeiten. Deshalb haben wir zusätzlich zwei auf IT-Forensik und IT-Sicherheit spezialisierte Unternehmen hinzugezogen.
Nach unseren ersten intensiven Ermittlungen sind keine PayPal-, Debitkarten- und Kreditkarten-Informationen unserer Mitglieder betroffen. Soweit wir es aktuell einschätzen können, handelt es sich um ältere Datensätze. Zusätzlich konnten wir ermitteln, dass Passwörter nicht Teil des Datenleaks sind. Mitglieder und Partner, die nach dem 16. September 2020 zu Urban Sports Club gekommen sind, sind ebenfalls nicht von dem Vorfall betroffen. Mittlerweile konnten alle betroffenen Mitglieder erfolgreich identifiziert werden.
Wir haben alle betroffenen aktuellen und ehemaligen Mitglieder via E-Mail kontaktiert und darüber in Kenntnis gesetzt, welche spezifischen Daten Teil des Vorfalls waren. Als Präventivmaßnahme wurden zusätzlich auch alle Mitglieder informiert, welche nach dem 16. September 2020 beigetreten sind, dass ihre Daten nicht von dem Datenschutzvorfall betroffen sind.
Bei dem Datenleck handelte es sich um einen individuellen menschlichen Fehler und nicht um einen erfolgreichen Hackerangriff.
Der Vorfall betrifft nicht das aktuelle Urban Sports Club Cloud Netzwerk oder aktuelle Urban Sports Club Datenbanken. Nachdem ursprünglich angenommen wurde, dass ein VPN falsch konfiguriert wurde, hat sich nun gezeigt, dass die Einstellungen an einem Ordner in einer nicht länger genutzten Cloud-Umgebung falsch gesetzt wurden.
Es ist anzumerken, dass unsere aktuelle Urban Sports Club Cloud zu keiner Zeit beeinträchtigt wurde, da sie Sicherheitsmaßnahmen unterliegt, die unautorisierte Zugriffe verhindern.
Wir bedauern sehr, dass es zu dem Vorfall gekommen ist.
Die zuständigen Behörden, unsere Mitglieder und Partner sind über den Vorfall informiert.
Sobald wir weitere Erkenntnisse haben, werden wir darüber informieren und diese Seite aktualisieren.
Falls du Fragen hast, schau in unsere Häufig gestellten Fragen oder kontaktiere uns über dieses Formular.
Update vom 25.04.2024: Nach weiteren internen Untersuchungen, insbesondere mit aufwändigen Bilderkennungsverfahren, konnten wir diejenigen Mitglieder ermitteln, deren Urban Sports Club Profilfotos betroffen waren. Diese Mitglieder sind von uns informiert worden. Wir gehen nicht davon aus, dass ein potentieller Zugriff auf das Profilfoto mit Risiken für die Mitglieder verbunden ist.
Häufig gestellte Fragen
Sind jetzt also meine persönlichen Daten im Netz?
Die Lücke ist seit dem 27. März geschlossen. Sofern du nach unserem aktuellen Kenntnisstand von dem Datenleck betroffen warst, hast du von uns eine Mail erhalten.
Muss ich mein Passwort ändern?
Wir empfehlen unabhängig von dem Vorfall, das Passwort in regelmäßigen Abständen zu ändern. Hinweise zur Erstellung eines Passworts findest du auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Was kann ich jetzt tun?
Wir bitten euch in der nächsten Zeit, besonders wachsam zu sein. Wir empfehlen unabhängig von dem Vorfall, das Passwort in regelmäßigen Abständen zu ändern. Neue Entwicklung zum Vorfall findest du auf unserem Blog.
Welche genauen Daten sind von mir betroffen?
Basierend auf unseren aktuellen Erkenntnissen haben die Betroffenen Informationen erhalten, welche persönlichen Daten vom Datenleck betroffen sind.
Was tut Urban Sports Club, dass so etwas nicht wieder passiert?
Der Vorfall betrifft nicht das aktuelle Urban Sports Club Cloud Network oder aktuelle Urban Sports Club Datenbanken. Sondern die Sicherungsdateien in einer heute nicht mehr genutzten Cloud-Umgebung. Dennoch nehmen wir das zum Anlass, unsere gesamte IT Security Infrastruktur und die Prozesse noch einmal genau zu überprüfen.
Wie kann ich feststellen, ob ich betroffen bin?
Basierend auf unseren aktuellen Erkenntnissen haben wir die Betroffenen per Mail informiert. Wenn du nicht dabei bist, bist du nicht betroffen.
Warum habt ihr noch alte Daten von mir vorliegen und warum sind diese nicht gelöscht worden?
Der Vorfall betrifft die Einstellungen in einem alten Ordner mit Sicherungsdateien in einer heute nicht mehr genutzten Cloud-Umgebung. Dadurch war es leider möglich, von außerhalb des Unternehmens auf die betroffenen Daten zuzugreifen.
Wo wurden die Daten veröffentlicht?
Nach unseren Erkenntnissen im Internet.
Wurden meine Daten im Darknet angeboten?
Wir als Urban Sports Club haben dazu aktuell keine Information vorliegen.