Basic-Fit betreibt nach eigenen Angaben die größte Fitnessstudio-Kette Europas. Zum Bestand gehören mehr als 1.700 eigene Studios und über 430 Franchise-Betriebe in zwölf Ländern, unter anderem in den Niederlanden, Belgien, Frankreich, Spanien und Deutschland.
In der öffentlichen Mitteilung erklärt das Unternehmen, der unbefugte Zugriff habe jenes System getroffen, das die Besuche der Mitglieder in den Studios protokolliert. Entdeckt worden sei der Vorfall durch die eigenen Überwachungsprozesse; er sei „innerhalb von Minuten nach der Entdeckung" unterbunden worden. Eine mit Unterstützung externer Sicherheitsexperten durchgeführte Untersuchung ergab dennoch, dass der Angreifer Daten eines Teils der Mitglieder abzog.
Kundendaten der Franchise-Betriebe waren laut Basic-Fit nicht betroffen, da sie auf einem separaten System gespeichert sind. Nach Angaben des Unternehmens wurden bei dem Vorfall weder Ausweisdokumente noch Kontopasswörter abgerufen.
In der Bekanntmachung nennt das Unternehmen für die Niederlande 200.000 Betroffene. Ein Sprecher teilte BleepingComputer jedoch mit, dass die Gesamtzahl bei rund einer Million Mitgliedern liege – verteilt auf die Niederlande, Belgien, Luxemburg, Frankreich, Spanien und Deutschland. Insgesamt zählen die Studios in Europa dem Sprecher zufolge etwa fünf Millionen Mitglieder.
Basic-Fit verweist zudem auf die Datenhaltung: Nach EU-Vorgaben ist das Unternehmen verpflichtet, alle personenbezogenen Daten und Mitgliedschaften automatisch nach zwei Jahren zu löschen. Kunden können über die App „My Basic-Fit" bis zu einem Jahr nach Kündigung auf ihre Daten zugreifen. Die in der App gespeicherten Informationen sollen zwei Monate nach Deinstallation sowie nach Beendigung der Mitgliedschaft automatisch entfernt werden.
Die Untersuchung des Vorfalls habe keine Hinweise darauf ergeben, dass die Daten online veröffentlicht wurden, so das Unternehmen. Mit Unterstützung externer Fachleute werde die Lage weiter beobachtet.
