- APPVISORY unterstützt DFB beim Schließen einer kritischen Sicherheitslücke
- Vorfall wird nur wenige Tage nach Inkrafttreten der EU-DSGVO bekannt
- DFB reagiert vorbildlich und behebt die Problematik sofort
Kurz vor der Fußball-Weltmeisterschaft sind die Sicherheitsexperten von APPVISORY im Online-Portal des Deutschen Fußball-Bundes auf ein kritisches Datenschutzleck gestoßen. Beim Test der DFB-App wurden die Analysten auf eine Schnittstelle aufmerksam, die es Unbefugten ermöglichte, Zugriff auf die personenbezogenen Daten der Nutzer zu erhalten. Dritte konnten dadurch die privaten E-MailAdressen aller Nutzer auslesen.
Für den Zugriff war lediglich der Benutzername des dazugehörigen Kontos erforderlich. Die Benutzernamen sind auf der Seite des DFB in Ranglisten von Tippspielen öffentlich gelistet und somit frei zugänglich.
Der DFB wurde am 25.05.2018 über die Problematik in Kenntnis gesetzt. Am Nachmittag des 28.05.2018 hat der DFB auf Basis der Hinweise von APPVISORY die Schnittstelle deaktiviert. Somit besteht diese Gefahr bei der Nutzung der DFB-App und –Dienste nicht mehr. Laut DFB wurde die Schwachstelle bisher nicht ausgenutzt. Dennoch stellte die Sicherheitslücke einen Verstoß gegen die gesetzlich verankerte „Sicherheit der Verarbeitung“ von personenbezogenen Daten dar. Die Datenschutz-Verletzung wurde entsprechend Art. 33 DSGVO an den Beauftragten für Datenschutz in der Hessischen Aufsichtsbehörde gemeldet.
