Basic-Fit colpita da un attacco informatico che interessa membri in diversi paesi, inclusi 200.000 nei Paesi Bassi

      La violazione ha esposto nomi, indirizzi, indirizzi email, numeri di telefono, date di nascita e dettagli del conto bancario. Non sono state accessibili password o documenti d'identità. L'Autorità Olandese per la Protezione dei Dati è stata informata. Basic-Fit gestisce oltre 1.300 club in sette paesi europei.

      Basic-Fit, la più grande catena di fitness a basso costo in Europa per numero di club, ha rivelato una violazione dei dati che interessa i membri di diversi paesi, con circa 200.000 membri nei Paesi Bassi i cui dati sono stati esposti.

      L'azienda ha confermato di aver informato l'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) dopo aver rilevato accessi non autorizzati al sistema che utilizza per registrare le visite dei membri ai suoi club fitness.

      I dati esposti includono informazioni sull'iscrizione, nomi, indirizzi di casa, indirizzi email, numeri di telefono, date di nascita e dettagli del conto bancario. Basic-Fit ha confermato che nessun documento d'identità, come passaporti o patenti di guida, è memorizzato dall'azienda e che nessuna password è stata accessibile nella violazione.

      L'attacco ha preso di mira il sistema di check-in e registrazione delle visite della catena, che registra l'accesso dei membri attraverso tornelli in ogni sede. Basic-Fit opera in sette paesi europei: Paesi Bassi, Belgio, Lussemburgo, Francia, Spagna, Germania e Austria.

      L'inclusione dei dettagli del conto bancario nei dati trapelati è probabilmente la preoccupazione più significativa per i membri interessati. In combinazione con nomi e date di nascita, i numeri IBAN e i dettagli bancari creano le condizioni per frodi tramite addebito diretto SEPA e impersonificazione finanziaria.

      La dichiarazione sulla privacy di Basic-Fit conferma che l'azienda raccoglie numeri di conto bancario da tutti i membri come parte del processo di abbonamento, utilizzati per elaborare i pagamenti ricorrenti delle iscrizioni.

      I membri interessati sono stati avvisati di monitorare attentamente i propri conti e di essere vigili nei confronti di tentativi di phishing che potrebbero utilizzare i dettagli personali esposti per apparire credibili.

      La violazione arriva in un periodo difficile per la sicurezza dei dati nei Paesi Bassi. Nel febbraio 2026, l'operatore di telecomunicazioni Odido, ex T-Mobile Paesi Bassi, ha subito quella che gli esperti di cybersecurity hanno descritto come una delle più grandi violazioni di dati nella storia olandese, con i dati personali di circa 6,2 milioni di conti clienti esposti attraverso un attacco al suo sistema di gestione delle relazioni con i clienti.

      Quell'incidente includeva numeri IBAN, dettagli del passaporto e date di nascita. La violazione di Basic-Fit è sostanzialmente più piccola in scala ma segue lo stesso schema di attacchi che prendono di mira sistemi che detengono dati identificativi e finanziari aggregati dei clienti in blocco.