Dati personali sensibili appartenenti a oltre 150.000 giocatori e membri dello staff di calcio collegati alla Confederazione Asiatica di Calcio (AFC) e al club saudita Al Nassr sono stati diffusi online, sollevando preoccupazioni per la sicurezza poche settimane prima della Coppa del Mondo FIFA 2026.
Secondo i rapporti, il dataset include scansioni passaporti, dettagli identificativi, contratti e indirizzi email verificati legati sia a giocatori che a allenatori. La violazione avrebbe colpito circa 69.000 giocatori e 81.000 membri dello staff, rendendola uno dei più grandi incidenti noti che coinvolgono dati sul calcio professionistico.
Le informazioni esposte vanno oltre i registri di base. Si dice che i file trapelate contengano nomi legali completi, numeri di passaporto, date di nascita, nazionalità, affiliazioni di club e dati di registrazione ai tornei collegati alle competizioni AFC. Questi dettagli sono considerati altamente sensibili, soprattutto per il loro collegamento diretto con la verifica dell’identità e i viaggi internazionali.
I dati sarebbero stati pubblicati su un forum di cybercriminalità, dove l’attore minaccioso affermava di possedere un database completo di giocatori e allenatori dell’AFC. L’individuo dietro la fuga di notizie ha fatto riferimento a legami con il gruppo ShinyHunters, anche se i ricercatori suggeriscono che l’attore possa sfruttare la reputazione del gruppo per aumentare credibilità e guadagni finanziari.
Gli analisti di sicurezza avvertono che la combinazione di dati passaporti, contratti e informazioni di contatto verificate crea un ambiente ad alto rischio per attacchi mirati. Il dataset potrebbe consentire frodi d’identità, campagne di phishing, manipolazione contrattuale e tentativi di social engineering rivolti ad atleti, agenti e club di alto profilo.
Il momento della violazione aumenta significativamente il suo potenziale impatto. Diverse nazioni membri dell’AFC si stanno preparando a partecipare alla Coppa del Mondo FIFA 2026, il che significa che molte persone interessate viaggieranno all’estero con calendari e località pubblicamente noti. Questa sovrapposizione introduce non solo rischi finanziari e informatici, ma anche potenziali preoccupazioni per la sicurezza fisica.
I ricercatori hanno osservato che i dati trapepati sono “operativamente rilevanti”, indicando che potrebbero essere utilizzati attivamente per sfruttamento piuttosto che obsoleti o incompleti. La presenza di registri verificati e strutturati ne aumenta ulteriormente il valore nei mercati sotterranei.
L’incidente mette in luce le continue sfide di cybersicurezza nelle organizzazioni sportive globali, dove grandi database centralizzati di informazioni personali e contrattuali possono diventare obiettivi di grande valore. Con l’avvicinarsi di grandi eventi internazionali, tali dataset diventano ancora più attraenti per gli attori minacciosi che cercano guadagno finanziario o interruzioni.