Thought Leadership
Kurz vor der WM 2026 leakt ein Hacker 150.000 Datensätze der AFC. Betroffen sind Superstars wie Cristiano Ronaldo. Alles zu den Risiken für die World-Cup-Sicherheit.
Nur wenige Wochen vor dem Eröffnungsspiel der FIFA Weltmeisterschaft 2026 ist eine Datenbank mit sensiblen Informationen der Asian Football Confederation (AFC) und des saudischen Spitzenclubs Al Nassr FC im Internet aufgetaucht. Ein Hacker, der Verbindungen zur berüchtigten Erpressergruppe ShinyHunters für sich reklamiert, veröffentlichte die sensiblen Daten auf dem Untergrund-Marktplatz „PwnForums“, wie Dataminr berichtet.
Über 150.000 Spieler, Trainer und Stabmitglieder betroffen
Der Datendiebstahl betrifft insgesamt über 150.000 Personen. Die Analyse von Dataminr bestätigt, dass es sich um verifizierte, hochaktuelle Informationen handelt. Unter den Daten befinden sich Scans von Reisepässen sowie private Vertragsdetails einiger der bestbezahlten Athleten der Welt.
| Kategorie | Details zum Datenleck |
| Betroffene Personen | 69.000 Spieler und 81.000 Trainer/Stabmitglieder |
| Sensible Dokumente | Pass-Scans, ID-Nummern, unterschriebene Spielerverträge |
| Personenbezogene Daten | Geburtsdaten, Nationalitäten, E-Mail-Adressen, AFC-IDs |
| Sportliche Details | Spielerpositionen, Match-Details, Registrierungen für die AFC Champions League Elite |
Besonders im Fokus steht der Club Al Nassr FC. Da das Team Superstars wie Cristiano Ronaldo (Portugal), Sadio Mané (Senegal), Marcelo Brozović (Kroatien) und Aymeric Laporte (Spanien) unter Vertrag hat, befinden sich deren Identitätsdokumente nun potenziell in den Händen von Kriminellen.
Gefahr für die Sicherheit der WM 2026
Das Timing könnte kaum kritischer sein. Die Weltmeisterschaft beginnt am 11. Juni 2026 und wird in den USA, Kanada und Mexiko ausgetragen. Da mehrere AFC-Mitgliedsnationen wie Japan, Südkorea, Australien, Iran und Saudi-Arabien am Turnier teilnehmen, sind die Sicherheitsbedenken enorm.
Sicherheits-Experten warnen vor drei zentralen Bedrohungsszenarien:
- Physische Sicherheit: Durch den Leak von Passdaten und Reisedetails sind die Bewegungen und Aufenthaltsorte der Nationalspieler während des Turniers leichter nachverfolgbar.
- Gezieltes Phishing: Mit echten Vertragsdetails und E-Mail-Adressen können Angreifer täuschend echte Betrugsnachrichten an Spieler, Agenten und Funktionäre senden.
- Identitätsbetrug: Die Kombination aus Pass-Scans und persönlichen Daten ermöglicht großangelegten Finanzbetrug im Namen der Athleten.
ShinyHunters: Ein bekannter Name hinter dem Angriff
Der Hacker bezeichnet den Coup als „den größten Breach der Fußballgeschichte“ und verweist auf die Kooperation mit ShinyHunters. Diese Gruppe ist bereits mehrfach durch spektakuläre Angriffe auf Großunternehmen (darunter Vimeo, Udemy und Rockstar Games) aufgefallen. Analysten von Dataminr stufen den Akteur als finanziell motiviert ein, weisen aber darauf hin, dass auch sportpolitische Rivalitäten und die Absicht, öffentliche Kontroversen zu schüren, eine Rolle spielen könnten.
Konsequenzen für Vereine und Verbände
Sowohl die AFC als auch Al Nassr FC haben sich zum Zeitpunkt der Veröffentlichung noch nicht offiziell zu dem Vorfall geäußert. Dennoch müssen Vereine und Verbände nun schnell reagieren:
- Pass-Dokumente sperren: Betroffene Spieler müssen potenziell neue Reisedokumente beantragen, um Missbrauch zu verhindern.
- Passwort-Rotation: Alle digitalen Konten, die mit den geleakten E-Mail-Adressen verknüpft sind, müssen durch Multi-Faktor-Authentifizierung (MFA) gesichert werden.
- Briefing der Teams: Nationalmannschaften müssen für die WM-Vorbereitung speziell auf Social-Engineering-Angriffe geschult werden.
