Sensible persönliche Daten von mehr als 150.000 Fußballspielern und Mitarbeitern, die mit dem Asiatischen Fußballverband (AFC) und dem saudischen Klub Al Nassr verbunden sind, wurden online geleakt, was nur wenige Wochen vor der FIFA-Weltmeisterschaft 2026 Sicherheitsbedenken aufwirft.
Berichten zufolge enthält der Datensatz Reisepass-Scans, Ausweisdaten, Verträge und verifizierte E-Mail-Adressen, die sowohl Spielern als auch Trainern zugeordnet sind. Der Datenbruch betrifft Berichten zufolge etwa 69.000 Spieler und 81.000 Mitarbeiter und ist damit einer der größten bekannten Vorfälle im Bereich Profifußball-Daten.
Die offengelegten Informationen gehen über grundlegende Unterlagen hinaus. Durchgesickerte Dateien sollen vollständige rechtliche Namen, Passnummern, Geburtsdaten, Nationalitäten, Vereinszugehörigkeiten und Turnierregistrierungsdaten enthalten, die mit AFC-Wettbewerben verknüpft sind. Diese Details gelten als äußerst sensibel, insbesondere aufgrund ihrer direkten Verbindung zur Identitätsprüfung und internationalen Reisen.
Die Daten wurden angeblich in einem Cybercrime-Forum veröffentlicht, wo der Bedrohungsakteur behauptete, über eine vollständige Datenbank von AFC-Spielern und Trainern zu verfügen. Die Person hinter dem Leak bezog sich auf Verbindungen zur ShinyHunters-Gruppe, wobei Forscher vermuten, dass der Schauspieler den Ruf der Gruppe nutzen könnte, um Glaubwürdigkeit und finanziellen Gewinn zu erhöhen.
Sicherheitsanalysten warnen, dass die Kombination aus Reisepassdaten, Verträgen und verifizierten Kontaktinformationen ein Hochrisikoumfeld für gezielte Angriffe schafft. Der Datensatz könnte Identitätsbetrug, Phishing-Kampagnen, Vertragsmanipulation und Social-Engineering-Versuche gegen hochkarätige Sportler, Agenten und Vereine ermöglichen.
Der Zeitpunkt des Verstoßes erhöht seine potenzielle Auswirkungen erheblich. Mehrere AFC-Mitgliedsnationen bereiten sich auf die Teilnahme an der FIFA-Weltmeisterschaft 2026 vor, was bedeutet, dass viele Betroffene international reisen werden, mit öffentlich bekannten Zeitplänen und Orten. Diese Überschneidung bringt nicht nur finanzielle und Cyberrisiken, sondern auch potenzielle physische Sicherheitsrisiken mit sich.
Die Forscher stellten fest, dass die geleakten Daten “operativ relevant” sind, was darauf hindeutet, dass sie aktiv zur Auswertung genutzt werden könnten, anstatt veraltet oder unvollständig zu sein. Das Vorhandensein von verifizierten und strukturierten Aufzeichnungen erhöht seinen Wert in den Untergrundmärkten weiter.
Der Vorfall verdeutlicht anhaltende Herausforderungen im Bereich der Cybersicherheit in globalen Sportorganisationen, wo große, zentralisierte Datenbanken mit persönlichen und vertraglichen Informationen zu wertvollen Zielen werden können. Mit zunehmenden großen internationalen Ereignissen werden solche Datensätze für Bedrohungsakteure, die finanziellen Gewinn oder Störungen suchen, noch attraktiver.