Anmelden
(Bild: Black_Kira / Shutterstock.com)
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen [1], dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Diese Patches sind zurzeit verfügbar:
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
URL dieses Artikels:
https://www.heise.de/-11134510
Links in diesem Artikel:
[1] https://censys.com/advisory/cve-2025-64424-cve-2025-64420-cve-2025-64419
[2] https://github.com/coollabsio/coolify/security/advisories/GHSA-24mp-fc9q-c884
[3] https://github.com/coollabsio/coolify/security/advisories/GHSA-5cg9-38qj-8mc3
[4] https://github.com/coollabsio/coolify/security/advisories/GHSA-cj2c-9jx8-j427
[5] https://github.com/coollabsio/coolify/security/advisories/GHSA-q33h-22xm-4cgh
[6] https://github.com/coollabsio/coolify/security/advisories/GHSA-qwxj-qch7-whpc
[7] https://github.com/coollabsio/coolify/security/advisories/GHSA-q7rg-2j7p-83gp
[8] https://github.com/coollabsio/coolify/security/advisories/GHSA-vm5p-43qh-7pmq
[9] https://github.com/coollabsio/coolify/security/advisories/GHSA-234r-xrrg-m8f3
[10] https://github.com/coollabsio/coolify/security/advisories/GHSA-qx24-jhwj-8w6x
[11] https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr
[12] https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf
[13] https://github.com/coollabsio/coolify/security/advisories/GHSA-4p6r-m39m-9cm9
[14] https://github.com/coollabsio/coolify/security/advisories/GHSA-f737-2p93-g2cw
[15] https://github.com/coollabsio/coolify/security/advisories/GHSA-4fqm-797g-7m6j
[16] https://github.com/coollabsio/coolify/security/advisories/GHSA-927g-56xp-6427
[17] https://github.com/coollabsio/coolify/security/advisories/GHSA-688j-rm43-5r8x
[18] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[19] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / Kanboard)
In Kanboard stecken drei Sicherheitslecks. Das gravierendste erlaubt die Anmeldung als beliebiger Nutzer. Ein Update steht bereit.
Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.
Die Release-Ankündigung zu Kanboard 1.2.49 [1] nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881 [2], CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.
Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880 [3], CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879 [4], CVSS 4.7, Risiko „mittel“).
All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard [5] bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.
Zuletzt fiel im vergangenen Juni eine hochriskante Sicherheitslücke in Kanboard [6] auf. Sie ermöglichte Angreifern, Kanboard-Konten zu übernehmen.
URL dieses Artikels:
https://www.heise.de/-11134247
Links in diesem Artikel:
[1] https://github.com/kanboard/kanboard/releases/tag/v1.2.49
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-21881
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-21880
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-21879
[5] https://github.com/kanboard/kanboard
[6] https://www.heise.de/news/Kanboard-Sicherheitsluecke-ermoeglicht-Kontouebernahme-10457116.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Dr. Ansay)
Bei dem Telemedizin-Anbieter Dr. Ansay hat es erneut eine Sicherheitslücke gegeben. Dadurch waren hunderttausende Kunden gefährdet.
Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.
Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.
Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit einem neu aufgelegten Bug-Bounty-Programm: [1] "Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“.
Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet. Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Eine Anfrage von heise online an die Datenschutzbehörden in Malta wurden noch nicht beantwortet.
Bei der Datenschutzbehörde in Hamburg ist keine Meldung eingegangen, wie eine Sprecherin auf Anfrage von heise online mitteilt. „In Hamburg hat Dr. Ansay nach unserem Kenntnisstand nur noch für das Segment der Entwicklung und Vermarktung von telemedizinischer Software eine Niederlassung, die Dr. Ansay AU-Schein GmbH“. Daher habe die Meldung in Malta erfolgen müssen.
Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert", sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. "Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter". Weitere Details wolle Dr. Ansay "aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen".
Von Dr. Ansay unbeantwortet bleibt, seit wann die Sicherheitslücke bestand, ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind un ob die Betroffenen bereits informiert wurden. Offen bleibt auch, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.
Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass "interne Sicherheits- und Monitoringprozesse [...] kontinuerlich" laufen würden und es "keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten" gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.
(Bild: Reddit)
Datenschutz habe "oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund".
Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.
Antwort der Landesdatenschutzbehörde von Hamburg ergänzt.
URL dieses Artikels:
https://www.heise.de/-11134191
Links in diesem Artikel:
[1] https://dransay.com/security
[2] https://heise.de/investigativ
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: janews/Shutterstock.com)
Angreifer nutzen eine Schadcode-Lücke in HPE OneView aus. PowerPoint wird ausschließlich unter macOS attackiert.
Derzeit attackieren unbekannte Angreifer macOS-Systeme über eine siebzehn Jahre Sicherheitslücke in PowerPoint mit Schadcode. HPEs IT-Verwaltungssystem OneView ist derzeit ebenfalls mit Schadcode-Attacken konfrontiert. Admins sollten ihre Systeme dementsprechend umgehend über Sicherheitspatches absichern. In beiden Fällen ist unklar, in welchem Umfang und wie genau die Attacken ablaufen.
Vor den Angriffen warnt die US-Behörde Cyber & Infrastrutcture Security Agency (CISA) in einem aktuellen Beitrag [1]. In beiden Fällen gelangt nach einer erfolgreichen Attacke Schadcode auf Computer. Das führt in der Regel dazu, dass Angreifer die volle Kontrolle über Systeme erlangen.
Die Office-Lücke aus dem Jahr 2009 betrifft der Beschreibung der Schwachstelle (CVE-2009-0556 „hoch“) [2] PowerPoint 2000 SP3, 2002 SP3 sowie 2003 SP3 und PowerPoint in Microsoft Office 2004 für macOS. Um Angriffe einzuleiten, müssen Angreifer Opfern ein präpariertes PowerPoint-Dokument unterschieben. Öffnen Opfer die Datei, kommt es zu Speicherfehlern und im Anschluss zur Ausführung von Schadcode. Der alleinige Empfang so einer Datei, etwa via E-Mail, soll keine Attacken einleiten können. Opfer müssen also mitspielen.
In einem alten Beitrag von Microsoft findet man Informationen zur Lücke [3], aber der Beitrag mit Informationen zum Sicherheitsupdate ist mittlerweile nicht mehr online. Wer noch eine der veralteten und verwundbaren Versionen nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen oder auf eine Alternative umsteigen.
Die „kritische“ Lücke mit Höchstwertung (CVE-2025-37164, CVSS Score 10 von 10) in HPE OneView ist seit Dezember vergangenen Jahres bekannt [4]. Seitdem ist auch ein Hotfix verfügbar, der die Schwachstelle schließt. Weitere Informationen dazu hat der Softwareanbieter in einer Warnmeldung zusammengetragen [5].
URL dieses Artikels:
https://www.heise.de/-11132320
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog
[2] https://nvd.nist.gov/vuln/detail/CVE-2009-0556
[3] https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-017
[4] https://www.heise.de/news/HPE-OneView-Kritische-Luecke-erlaubt-Codeschmuggel-aus-dem-Netz-11117707.html
[5] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Skorzewiak / Shutterstock.com)
Eine kritische Lücke im untgz-Tool der in vielen Betriebssystemen und Programmen enthaltenen zlib-Bibliothek ermöglicht Codeschmuggel.
In einem Werkzeug der Kompressionsbibliothek zlib, die in zahlreichen Programmen und Betriebssystemen enthalten ist, haben IT-Forscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht unter Umständen das Einschleusen und Ausführen von Schadcode. Ein Update zum Stopfen des Sicherheitslecks gibt es bislang noch nicht.
Auf der nur noch wenig aktiven Mailingliste Full Disclosure hat der IT-Forscher Ronald Edgerson [1] Informationen zur Sicherheitslücke gepostet. In der Funktion TGZfname() des untgz-Tools von zlib, das sich um die Dekompression von .tar.gz-Archiven (oder oftmals kurz .tgz) kümmert, kann ein Pufferüberlauf auftreten. Ursache ist das Kopieren von Nutzer-übergebenen Daten ohne Längenprüfung mit einem strcpy()-Aufruf auf einen globalen statischen Puffer von 1024 Byte Größe. Durch das Übergeben eines größeren Archivnamens erfolgt ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen, was zu Speicherverletzungen führt. Die Lücke hat nun den Schwachstelleneintrag CVE-2026-22184 [2] erhalten (CVSS4 9.3, Risiko „kritisch“).
Das untgz-Tool gehört zu Nutzer-beigesteuerten Werkzeugen (im contrib-Ordner des Projekts), die offiziell keinen Support erhalten. Sie sind jedoch auch nicht zwingend Bestandteil von ausgelieferten zlib-Paketen.
Edgerson führt aus, dass die Folgen unter anderem ein Absturz (Denial-of-Service, DoS), Speicherverletzungen von darauffolgenden globalen Objekten, nicht definiertes Verhalten oder sogar die Ausführung von eingeschleustem Code sein könnten. Jedoch gibt es dabei noch Abhängigkeiten vom verwendeten Compiler, der Prozessorarchitektur des Systems, verwendeten Build-Flags und dem Speicherlayout. Der verwundbare Code wird vor jedwedem Parsen oder Prüfungen des Archivs ausgeführt, wodurch sich die Lücke trivial allein durch Aufruf mit präpariertem Kommandozeilenparameter ausnutzen lasse. Da globaler Speicher betroffen sei, könnten die Speicherfehler über die Funktion hinaus wirksam werden und später das Programmverhalten beeinflussen.
Betroffen ist zlib bis einschließlich zur aktuellen Fassung 1.3.1.2, wie Vulncheck angibt [3], die den CVE-Schwachstelleneintrag erstellt und veröffentlicht haben. Aktualisierte Software steht derzeit noch nicht bereit. Im Github-Projekt von zlib [4] deutet zum Meldungszeitpunkt noch nichts auf Korrekturen im Quellcode hin. Ein Problembericht wurde jedoch [5] kürzlich eingereicht.
Im Herbst 2022 fiel die zlib-Bibliothek zuletzt durch eine kritische Sicherheitslücke auf. Auch dort konnten Angreifer den sicherheitsrelevanten Fehler missbrauchen, um Schadcode [6] einzuschleusen und auszuführen. Damals waren jedoch Aktualisierungen bereits zeitnah verfügbar.
Ergänzt, dass das untgz-Tool zu von Benutzern beigesteuerten Werkzeugen im contrib-Ordner gehören. Sie erhalten damit keinen Support, werden aber nicht unbedingt mit den zlib-Bilbliothek-Paketen ausgeliefert.
URL dieses Artikels:
https://www.heise.de/-11133774
Links in diesem Artikel:
[1] https://seclists.org/fulldisclosure/2026/Jan/3
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-22184
[3] https://www.vulncheck.com/advisories/zlib-untgz-global-buffer-overflow-in-tgzfname
[4] https://github.com/madler/zlib
[5] https://github.com/madler/zlib/issues/1142
[6] https://www.heise.de/news/Kritische-Luecke-in-zlib-Bibliothek-ermoeglicht-Codeschmuggel-7250044.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Shutterstock/chanpipat)
In MyAsus klafft eine als hochriskant eingestufte Sicherheitslücke, die das Ausweiten der Rechte erlaubt. EIn Update steht bereit.
In dem Support-Tool MyAsus für Rechner des Herstellers Asus klafft eine als hochriskant bewertete Sicherheitslücke. Sie ermöglicht Angreifern, dem Werkzeug beliebigen Code unterzujubeln, der mit den Rechten von MyAsus zur Ausführung gelangt – womit sie also ihre Rechte im System ausweiten können.
In der Schwachstellenbeschreibung erklärt Asus [1], dass eine Schwachstelle im „AsusSoftwareManagerAgent“ des Typs „nicht kontrollierter DLL-Ladepfad“ vorliegt. Lokale Angreifer können die App dazu bringen, eine manipulierte DLL aus einem von den Angreifern kontrollierten Ort zu laden, was zur Ausführung von beliebigem Code führt (CVE-2025-12793, CVSS4 8.5, Risiko „hoch“). Das Support-Werkzeug MyAsus ist auf diversen Rechnern von Asus standardmäßig vorinstalliert.
Asus hat auf der Webseite [2] mit Sicherheitsmitteilungen auch den neuen Eintrag für MyAsus ergänzt. Demnach steht MyAsus für alle Asus-PCs von Desktops, Laptops, über NUCs bis hin zu All-in-One-PCs zum Download bereit. Die Fehlerkorrekturen sind ab Version 4.0.52.0 für x64-CPUs und 4.2.50.0 für ARM-Prozessoren in MyAsus enthalten.
Die aktuelle Version lässt sich auf der Asus-Webseite herunterladen [3]. Die verweist jedoch auf den Microsoft-Store, der die Installation [4] dann auch passend zur Plattform vornimmt und über den Aktualisierungen verteilt werden können. Asus erklärt zudem in der Sicherheitsmitteilung, dass das Öffnen des MyAsus-Tools mit aktiver Internetverbindung zum Anbieten der Aktualisierung führen sollte.
Bereits Ende November fiel Asus mit einer hochriskanten Sicherheitslücke in MyAsus [5] auf. Auch da handelte es sich um eine Schwachstelle, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Sie hat sich jedoch im Wiederherstellungsmechanismus des Asus System Control Interface befunden.
URL dieses Artikels:
https://www.heise.de/-11132979
Links in diesem Artikel:
[1] https://nvd.nist.gov/vuln/detail/CVE-2025-12793
[2] https://www.asus.com/security-advisory
[3] https://www.asus.com/de/support/myasus-deeplink/
[4] https://www.microsoft.com/en-us/p/myasus/9n7r5s6b0zzh?source=lp&activetab=pivot:overviewtab
[5] https://www.heise.de/news/Asus-stopft-hochriskante-Rechteausweitungsluecke-in-MyAsus-11090371.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: yllyso/Shutterstock.com)
Jeder der über dreißig Millionen Kunden erhält 50.000 Won, etwa 30 Euro. Verbraucherschützer warnen: Coupang kaufe sich so von weiteren Ansprüchen frei.
Das südkoreanische E-Commerce-Unternehmen nimmt fast zwei Billionen Won in die Hand, um seine Kunden für die Auswirkungen eines Datenlecks zu entschädigen – umgerechnet etwa eine Milliarde Euro. Ab Mitte Januar erhalten alle 33 Millionen Kunden des Konzerns Gutscheine, die jedoch an Bedingungen geknüpft sind. Der Verursacher des Vorfalls, ein ehemaliger Mitarbeiter des Konzerns, hatte auf Millionen Datensätze zugegriffen und tausende Zugangscodes aufbewahrt.
Die Daten kamen bereits im Juni 2025 abhanden, als der Ex-Mitarbeiter Kundendaten wie Namen, E-Mail- und Lieferadressen und die Bestellhistorie der Coupang-Kunden abgriff. Er hatte sich mittels eines gestohlenen internen Sicherheits-Tokens Zugriff auf die Daten verschafft. Der Täter bewahrte sie jedoch nicht auf – lediglich mehrere Tausend Zugangscodes für die Haustüren der Coupang-Kunden speicherte er. Wie Coupang berichtet [1], entsorgte der Leaker panisch seinen Laptop im Fluss (stilecht in einer Stofftasche mit Coupang-Logo), übergab jedoch einen PC nebst Datenspeichern den Ermittlern.
(Bild: Coupang)
Kurios: Nicht koreanische Strafverfolger fanden den Mann, beschlagnahmten seine Geräte und analysierten sie, sondern Coupang spielte selbst Detektiv. Das sei jedoch keine „Privatermittlung“ gewesen, sondern in enger Absprache mit der koreanischen Regierung passiert, so der Konzern. Man habe sich zudem für forensische Untersuchungen der Dienste dreier „weltweiter Top-Cybersicherheitsfirmen“ bedient, nämlich Google Mandiant, Palo Alto Networks und Ernst & Young (EY). Letztere kassierten gegen den Insolvenzverwalter der Wirecard AG kürzlich eine Schlappe vor dem Bundesgerichtshof [2].
Der Coupang-Geschäftsführer trat im Dezember zurück und übernahm damit die Verantwortung für den Vorfall. Alle Coupang-Kunden waren bereits Ende November über das Leck informiert worden und erhalten nun eine Entschädigung. Die Interims-Geschäftsführung greift tief ins Konzernsäckel und offeriert jedem der 33 Millionen Kunden Gutscheine im Gesamtwert von 50.000 Won (ca. 29,50 Euro).
Allerdings gibt es einen Haken an der scheinbar großzügigen Geste. Die Gutscheine gelten nicht für das gesamte Angebot an Waren und Dienstleistungen, sondern sind viergeteilt: Geschädigte können für je 5000 Won (ca. 2,95 Euro) im Coupang-Marktplatz und bei Coupang Eats einkaufen, je 20.000 Won (etwa 11,83 Euro) entfallen auf die Reisesparte „Coupang Travel“ und R.LUX, Coupangs Beauty- und Luxusshopping-App.
Genau für diese Stückelung kritisieren Anwälte den Konzern. Sie erzwinge vier separate Bestellungen für die volle Entschädigungssumme und befördere somit unnötigen Konsum. Zudem versuche Coupang, die finanzielle Belastung zu drücken, indem er lediglich Konsumgutscheine statt einer geldwerten Entschädigung ausgebe.
Besonders schwer wiege jedoch, zitiert die Zeitung Chosun Daily einen Opferanwalt [3], dass eine Klausel in den Gutscheinbedingungen weitere Ansprüche der Geschädigten ausschließe. So bleibe diesen etwa durch das „non-litigation agreement“ in den Bedingungen die Beteiligung an Schadenersatzklagen verschlossen. Ebensolche planen Anwaltskanzleien jedoch gemeinsam mit Betroffenen – und raten daher von einer Annahme der Gutscheine ab.
Das hierzulande fast unbekannte Unternehmen Coupang genießt in Südkorea einen Amazon-ähnlichen Status und offeriert neben Onlineshopping mit Blitzlieferung auch Videostreaming- und Essenslieferdienste. Mit seinen diversen Unternehmungen erwirtschaftet der Konzern hohe Umsätze: Im Geschäftsjahr 2024 waren es mehr als dreißig Milliarden US-Dollar. Doch nicht nur wegen des jüngsten Datenlecks, sondern auch wegen seiner Geschäftspraktiken steht das Unternehmen in der Kritik.
Das koreanische Arbeitsministerium kündigte am 7. Januar an [4], man untersuche mit einer Arbeitsgruppe Vorwürfe illegaler Entlassungen und der Verschleierung von Arbeitsunfällen. Mehrere Mitarbeiter der Coupang-Logistiksparte waren vergangenes Jahr zu Tode gekommen [5].
Kunden ergreifen zudem offenbar in Scharen die Flucht und bringen Coupangs Partner in die Bredouille. Vertreter der Gastronomiebranche und selbstständige Händler, die auf der Plattform des Konzerns ihre Produkte verkaufen, beklagten infolge des Datenlecks massive Umsatzeinbrüche und beklagten die ihrer Meinung nach mangelhafte Reaktion des Konzerns. Sie litten zudem unter hohem Preisdruck, zitiert Chosun [6] den Sprecher einer Händlerorganisation. Das sei „keine Innovation, sondern wirtschaftlicher Mord.“
In der viertgrößten Wirtschaftsnation Asiens gab es im vergangenen Jahr zahlreiche Cyberangriffe und Datenlecks, darunter eines im Regierungsnetzwerk Onnara. Es war durch einen Artikel im US-Hackermagazin Phrack [7] ans Licht gekommen – die ganze Geschichte präsentierten zwei heise-Redakteure auf dem 39C3 [8].
URL dieses Artikels:
https://www.heise.de/-11132576
Links in diesem Artikel:
[1] https://www.aboutcoupang.com/English/news/news-details/2025/update-on-coupang-korea-cybersecurity-incident/
[2] https://www.heise.de/news/Wirecard-Skandal-Wirtschaftspruefer-EY-muss-laut-BGH-alle-Unterlagen-offenlegen-11114231.html
[3] https://www.chosun.com/english/national-en/2025/12/31/6W6XCPREBRCIVOBZGITSUZ5XKM/
[4] https://www.moel.go.kr/news/enews/report/enewsView.do?news_seq=18829
[5] https://www.koreatimes.co.kr/business/companies/20251125/workplace-deaths-becoming-persistent-issue-at-coupang
[6] https://biz.chosun.com/distribution/channel/2026/01/07/SIA3UIHAVRALHF6HYFLIIYSFN4/
[7] https://www.heise.de/news/Passwort-Folge-42-Phrack-ein-Hackermagazin-wird-40-10699354.html
[8] https://media.ccc.de/v/39c3-apt-down-and-the-mystery-of-the-burning-data-centers
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Eine aktuelle Phishing-Welle behauptet Abweichungen bei „Krypto-Angaben“ beim Bundeszentralamt für Steuern.
Bei einer aktuellen Phishing [1]-Masche geben die Betrugs-E-Mails vor, vom Bundeszentralamt für Steuern zu stammen. Es seien „Abweichungen bei Krypto-Angaben festgestellt“ worden, heißt es darin.
Das Schreiben versucht, bei den Empfängern Druck aufzubauen. „Dieses Schreiben dient der Information über eine verpflichtende Maßnahme im Zusammenhang mit Ihrer Steuererklärung und Ihre Krypto-Vermögenswerte“, schreiben die Phisher in nicht ganz sauberem Deutsch. Demnach seien „Krypto-Dienstleister verpflichtet, steuerrelevante Daten an die Finanzbehörden zu melden. Die gemeldeten Informationen werden künftig automatisiert mit Ihren Angaben abgeglichen.“
Das steht tatsächlich in der EU-Richtlinie mit dem Namen DAC 8, deren Umsetzung in Deutschland am 19.12.2025 beschlossen [2] wurde und die damit Heiligabend des vergangenen Jahres in Kraft getreten ist. Das hat noch keine größeren Kreise gezogen, könnte jetzt jedoch für Verunsicherung bei Krypto-Asset-Inhabern sorgen.
Die zu meldenden Daten umfassen laut Phishing-Mail „Identitätsdaten von Steuerpflichtigen, Krypto-Bestände und Wallets, Transaktionen, Übertragungen und Veräußerungen“. Die Betrüger schreiben weiter: „Um steuerliche Unstimmigkeiten, Prüfungen oder Sanktionen zu vermeiden, ist eine Überprüfung Ihrer Krypto-Konten innerhalb von 5 Werkstage erforderlich“ – der sehr kurze Zeitrahmen soll den Druck erhöhen. Empfänger müssten sich daher bei „Mein Elster“ mit ihrem Elster-Zertifikat anmelden und „Krypto-Wallets oder Exchange-Konten gemäß den Anweisungen“ verknüpfen. Darauf folgt eine Schaltfläche „Zur Datenüberprüfung“, die auf die eigentliche Phishing-Seite umleitet – auf Mobil-Browsern, mit Desktop-Browser-Kennung erfolgte eine Umleitung auf web.de. Das soll Malware-Analysten die Arbeit erschweren.
Die Betrüger versuchen, noch mehr Druck aufzubauen und so potenzielle Opfer zum Handeln zu bringen: „Bei Abweichungen zwischen gemeldeten und erklärten Daten handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann“, erörtern sie weiter. „Steuerhinterziehung ist hingegen als Straftatbestand eingestuft und kann mit einer Freiheitsstrafe geahndet werden“, schließt der Text der Phishing-Mail ab.
Es gibt mehrere Indizien, dass es sich um keine echte Mail von der Steuerverwaltung handelt. Der Absender zeigt zwar einen passenden Namen an, die Mail-Adresse selbst hat jedoch überhaupt nichts mit Steuern zu tun und liegt nicht einmal auf einer deutschen Domain. Der Aktions-Knopf leitet auf eine verkürzte, kryptische URL und nicht auf mit dem Elster-System verbundene Domains. Auch die kleineren Rechtschreibfehler sind ein weiteres Indiz. Empfänger sollten diese Mails daher einfach löschen und ignorieren.
Das Bundeszentralamt für Steuern muss des Öfteren für derartige Phishing-Versuche herhalten. Im vergangenen Mai forderten Betrüger etwa angeblich im Namen der Behörde auf, Mahngebühren [3] für verspätete Steuererklärungen zu zahlen.
URL dieses Artikels:
https://www.heise.de/-11132880
Links in diesem Artikel:
[1] https://www.heise.de/thema/Phishing
[2] https://dip.bundestag.de/vorgang/gesetz-zur-umsetzung-der-richtlinie-eu-2023-2226/324801
[3] https://www.heise.de/news/Betrueger-senden-E-Mails-im-Namen-der-Steuerverwaltung-10370325.html
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: TimmyTimTim/Shutterstock.com)
In der UniFi Protect Application können Angreifer Schwachstellen für unbefugten Zugriff auf Kameras und DoS-Attacken missbrauchen.
Ubiquiti warnt vor Sicherheitslücken in der UniFi Protect Application. Die Schwachstellen können Angreifern ermöglichen, unbefugt auf UniFi Protect-Kameras zuzugreifen oder die UniFi Protect Application zum Neustart zu bringen. Aktualisierte Software steht bereit, die die Fehler ausbessert.
In einer Sicherheitsmitteilung erklärt Ubiquiti [1], dass zwei Sicherheitslücken in der UniFi Protect Application klaffen. Aufgrund einer Schwachstelle im Discovery-Protokoll in der UniFi Protect Application können Angreifer aus dem angrenzenden Netzwerk unbefugten Zugriff auf UniFi Protect-Kameras erlangen (CVE-2026-21633 [2], CVSS 8.8, Risiko „hoch“). Details zur Lücke und wie Angriffe darauf aussehen könnten, nennt Ubiquiti jedoch nicht. Bösartige Akteure können zudem aus dem benachbarten Netzwerk heraus das Discovery-Protokoll der UniFi Protect Application überfluten und einen Neustart der App provozieren (CVE-2026-21634 [3], CVSS 6.5, Risiko „mittel“). Auch hier fehlen weitergehende Informationen, die Admins helfen würden, Angriffsversuche zu erkennen.
Beide Schwachstellen hat Trend Micros Zero-Day-Initiative (ZDI) entdeckt und gemeldet. Ubiquiti hat die Aktualisierung auf UniFi Protect Application 6.2.72 veröffentlicht, die die sicherheitsrelevanten Fehler korrigieren soll. Die Übersicht über die Verbesserungen und Fehlerkorrekturen in der Version 6.2.72 [4] nennt jedoch bislang keine der damit geschlossenen Sicherheitslücken. IT-Verwalter, die daher bislang auf das Update verzichtet haben, sollten das nun zügig nachholen – immerhin verpasst die erste Schwachstelle die Einstufung als kritisches Risiko nur sehr knapp.
Ende Oktober hatte Ubiquiti sogar eine Sicherheitslücke mit der Risikoeinstufung „kritisch“ in UniFi Access schließen müssen. Die Auswirkungen waren aufgrund der nebulösen Beschreibung unklar, jedoch ermöglichte das unbefugten Zugriff auf eine API [5].
URL dieses Artikels:
https://www.heise.de/-11131097
Links in diesem Artikel:
[1] https://community.ui.com/releases/Security-Advisory-Bulletin-058-058/6922ff20-8cd7-4724-8d8c-676458a2d0f9
[2] https://www.cve.org/CVERecord?id=CVE-2026-21633
[3] https://www.cve.org/CVERecord?id=CVE-2026-21634
[4] https://community.ui.com/releases/UniFi-Protect-Application-6-2-72/b45268b0-bee2-41c7-b409-8e2d5c0ca47c
[5] https://www.heise.de/news/Ubiquiti-UniFi-Access-Angreifer-koennen-sich-unbefugt-Zugriff-verschaffen-10900318.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Primakov/Shutterstock.com)
Androidgeräte sind für eine Zero-Click-Attacke anfällig. Dieses Sicherheitsproblem wurde nun gelöst.
Wenn Angreifer Opfern unter Android eine bestimmte präparierte Sounddatei unterschieben, kann es zu Fehlern und Abstürzen kommen. Schon der Empfang einer solchen Datei kann zu Problemen führen, weil Android Audio-Nachrichten zur Transkription lokal dekodiert und damit eine Zero-Click-Attacke möglich ist. Diese Lücke ist schon seit Oktober vergangenen Jahres bekannt und wurde unter anderem bereits in Windows geschlossen. Nun gibt es das Sicherheitsupdate auch für Android-Geräte.
Die Schwachstelle (CVE-2025-54957 „mittel“) betrifft die Verarbeitung von Dolby-Digital-Plus-Bitstreams. Manipulieren Angreifer solche Sounddateien, kommt es zu einem Speicherfehler, was zu Abstürzen führt. Oft kann in so einem Kontext auch Schadcode auf Systeme gelangen. Ob das in diesem Fall auch klappt, ist bislang unklar. Es gibt noch keine Berichte, dass Angreifer die Lücke bereits ausnutzen.
Die Schwachstelle haben Sicherheitsforscher von Googles Project Zero entdeckt. Seitdem gibt es auch Sicherheitsupdates für Windows und andere [1]. Weil Android Audio-Nachrichten zur Transkription lokal dekodiert, kann es zu einer Zero-Click-Attacke kommen. Das bedeutet, dass der alleinige Empfang einer präparierten Audiodatei ohne Zutun eines Opfers Schaden anrichten kann. Das ist offensichtlich auch der Grund, warum die Android-Entwickler die Lücke in einer Warnmeldung als „kritisch“ einstufen [2].
Wer ein noch im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patch-Level 2026-01-05 installiert ist. Das kann man in den Einstellungen prüfen. Neben Google stellt unter anderem auch Samsung (siehe Kasten) monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit.
Seit Juli 2025 schließt Google monatlich nur noch besonders bedrohliche Sicherheitslücken [3]. Die verbleibenden Patches werden quartalsweise bereitgestellt.
URL dieses Artikels:
https://www.heise.de/-11130450
Links in diesem Artikel:
[1] https://www.heise.de/news/Sicherheitsleck-in-Dolby-Digital-Plus-Decoder-in-Android-iOS-macOS-und-Windows-10793034.html
[2] https://source.android.com/docs/security/bulletin/2026/2026-01-01
[3] https://www.heise.de/news/Schlecht-fuer-Custom-ROMs-Google-aendert-Android-Sicherheitspatch-Strategie-10645581.html
[4] https://support.fairphone.com/hc/en-us/articles/360048139032-Fairphone-OS-releases-for-FP3-FP3-
[5] https://support.fairphone.com/hc/en-us/articles/4405858220945-Fairphone-4-OS-Release-Notes
[6] https://consumer.huawei.com/de/support/bulletin/
[7] https://de-de.support.motorola.com/app/software-security-update/g_id/7112
[8] https://www.hmd.com/en_int/security-updates
[9] https://security.oppo.com/en/mend
[10] https://security.samsungmobile.com/securityUpdate.smsb
[11] https://xpericheck.com/
[12] https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices
[13] https://security.oneplus.com/en/home
[14] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[15] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: MheePanda/Shutterstock.com)
Hinweise gab es seit dem Sommer – jetzt räumt Calumet eine „mögliche Datenschutzverletzung“ ein. Betroffene werden informiert.
Die auf Fotografie spezialisierte Online-Plattform des Händlers Calumet ist Opfer eines IT-Vorfalls [1] geworden. Hinweise darauf gab es bereits seit dem Sommer vergangenen Jahres, nun räumt Calumet den Vorfall jedoch ein.
Auf der Webseite erklärt Calumet [2] den IT-Vorfall. „Wir möchten darüber informieren, dass ein unbefugter Dritter kurzzeitig eingeschränkten Zugriff auf ein von uns genutztes System eines Drittanbieters erlangt hat. Es besteht daher die Möglichkeit, dass einige Kontaktdaten von einem Datenleck betroffen waren“, teilt das Unternehmen mit. Die Lücke sei demnach inzwischen geschlossen. Es seien „weder sensible Daten wie Passwörter, Kreditkartendaten oder Kaufinformationen noch Kommunikationsinhalte betroffen“. Calumet arbeite mit der zuständigen Hamburger Datenschutzbehörde zusammen.
Calumet habe die Sicherheitsmaßnahmen überprüfen lassen und „zusätzlich verstärkt, um alle Daten zukünftig noch besser zu schützen“. Betroffene, von denen Daten bei dem Vorfall abgeflossen sind, will das Unternehmen bis zum 10. Januar persönlich kontaktieren, über die dort hinterlegte E-Mail-Adresse.
Bereits im Sommer gab es Hinweise, dass es bei Calumet zu einem Datenabfluss gekommen sein muss. Nur dort genutzte Wegwerf-E-Mail-Adressen erhielten plötzlich Spam-Nachrichten. Das ist jedoch nur ein loses Indiz, da Cyberkriminelle auch über einen Infostealer oder durch schlichtes Ausprobieren an die E-Mail-Adresse gelangt sein könnten. Wie Calumet nun angibt, gehe es „vor allem um die E-Mail-Adresse, die du für deine Anfrage an uns verwendet hast, und um deinen Namen, sofern du ihn angegeben hast.“ In der angekündigten E-Mail an Betroffene will Calumet genau benennen, welche persönlichen Daten im Einzelfall betroffen sind.
Calumet rät Betroffenen, vorerst nichts weiter zu unternehmen. Sie sollen jedoch wachsam sein bei verdächtigen E-Mails oder Telefonanrufen, bei diesen könnte es sich um Betrugsversuche wie Phishing [3] handeln.
URL dieses Artikels:
https://www.heise.de/-11130895
Links in diesem Artikel:
[1] https://www.heise.de/thema/Cyberangriff
[2] https://www.calumet.de/company/datenschutzinformation
[3] https://www.heise.de/thema/Phishing
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Tatiana Popova/Shutterstock.com)
Stimmten die Voraussetzungen, können Angreifer Netzwerkspeicher von Qnap mit weitreichenden Folgen attackieren.
Mehrere Sicherheitslücken gefährden NAS-Systeme von Qnap. Sicherheitspatches stehen zum Download bereit. In vielen Fällen sind Attacken aber nicht ohne Weiteres möglich.
Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht [1], betreffen die Schwachstellen License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client, QTS und QuTS hero. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.
Entfernte Angreifer können etwa an einer Schwachstelle (CVE-2025-59384 „hoch“) in Qfiling ansetzen, um unter anderem Systemdaten einzusehen. Die NAS-Betriebssysteme QTS und QuTS hero sind über mehrere Lücken angreifbar. So können Angreifer etwa NAS-Systeme über DoS-Attacken lahmlegen oder auf eigentlich geschützte, geheime Daten zugreifen. Dafür müssen Angreifer aber bereits die Kontrolle über einen Admin-Account erlangt haben. Eine offizielle Einstufung des Bedrohungsgrads dieser Lücken auf der NIST-Website steht derzeit offensichtlich noch aus. Das CERT Bund [2] vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Schweregrad als „hoch“ ein.
Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar ist derzeit auch, woran man bereits attackierte Instanzen erkennen kann.
Weiterführende Informationen zu Sicherheitspatches:
URL dieses Artikels:
https://www.heise.de/-11129647
Links in diesem Artikel:
[1] https://www.qnap.com/de-de/security-advisories
[2] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-0011
[3] https://www.qnap.com/de-de/security-advisory/qsa-25-49
[4] https://www.qnap.com/de-de/security-advisory/qsa-25-50
[5] https://www.qnap.com/de-de/security-advisory/qsa-25-51
[6] https://www.qnap.com/de-de/security-advisory/qsa-25-52
[7] https://www.qnap.com/de-de/security-advisory/qsa-25-53
[8] https://www.qnap.com/de-de/security-advisory/qsa-25-54
[9] https://www.qnap.com/de-de/security-advisory/qsa-25-55
[10] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[11] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Dilok Klaisataporn/Shutterstock.com)
Viele MongoDB-Instanzen sind oder waren potenziell für MongoBleed anfällig. Ein Tool hilft bei der Server-Analyse auf Angriffsspuren.
Die hochriskante Sicherheitslücke in der Datenbank MongoDB [1], die um Weihnachten herum bekannt und seitdem bereits angegriffen wurde, lässt sich mit aktualisierter Software oder Konfigurationsänderungen schließen. Zu Silvester waren jedoch noch zigtausend potenziell verwundbare Instanzen im Netz [2] erreichbar. Die Untersuchung, ob die eigenen Server bereits angegriffen und möglicherweise gar kompromittiert wurden, war bislang etwas mühselig. Das ändert ein kleines Tool von Florian Roth namens „MongoBleed Detector“.
MongoBleed Detector steht auf Github [3] bereit und wird vom Autor weitergepflegt. Nach dem Aktualisieren des MongoDB-Servers empfiehlt sich die Untersuchung der Datenbank damit, um möglichen Missbrauch der MongoBleed-Schwachstelle CVE-2025-14847 aufzuspüren.
Das Tool kennt dafür mehrere Modi. Neben einer Log-Korrelation etwa durch Verbindungsereignisse und fehlenden Meta-Daten dazu (was lediglich mit einem bestimmten Proof-of-Concept-Exploit so stattfindet) können Admins damit Schnappschüsse mittels serverStatus.asserts untersuchen. Das haben IT-Forscher als verlässlichen Indikator [4] für Angriffsversuche aufgrund eines um mehrere Größenordnungen höheren Werts für „user“ ausgemacht. Die dort ebenfalls vorgestellte Analyse auf Basis des Full-Time Diagnostic Data Capture (FTDC) MongoDB-Subsystems lässt sich schließlich als dritte Erkennungsmethode von MongoBleed Detector nutzen.
Der MongoBleed Detector analysiert lokale MongoDB-Daten, kann jedoch mit einer Datei mit Hosts mit einem weiteren Script mongobleed-remote.py auch auf entfernte Systeme mittels SSH zugreifen und diese untersuchen. Auf der Github-Seite des Projekts erklärt Roth die Funktionen und Optionen ausführlich.
Florian Roth ist in IT-Sicherheitskreisen kein Unbekannter. Er programmiert auch das Tool „Thor“, mit dem sich Systeme auf Hinweise auf Kompromittierung (Indicators of Compromise, IOCs) untersuchen lassen. Das Analysewerkzeug ist auch in der „Thor Lite“-Version [5] in c’t-Desinfec’t enthalten.
URL dieses Artikels:
https://www.heise.de/-11129291
Links in diesem Artikel:
[1] https://www.heise.de/news/MongoDB-kritische-Sicherheitsluecke-in-NoSQL-Datenbank-11124891.html
[2] https://www.heise.de/news/MongoBleed-Mehr-als-11-500-verwundbare-MongoDB-Instanzen-in-Deutschland-11126702.html
[3] https://github.com/Neo23x0/mongobleed-detector
[4] https://medium.com/@unf01d/a-different-mongobleed-perspective-5f08b4bf887a
[5] https://www.nextron-systems.com/thor-lite/
[6] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Gorodenkoff/Shutterstock.com)
Derzeit haben es Angreifer auf eine fünf Jahre alte Sicherheitslücke in Fortinet-Firewalls abgesehen. Die Lücken in ColdFusion sind ebenfalls älter.
Aufgrund von zurzeit laufenden Attacken sollten Admins ihre Adobe-ColdFusion-Instanzen und ihre Fortinet-Firewalls auf den aktuellen Stand bringen. Die ausgenutzten Sicherheitslücken sind in beiden Fällen bereits seit mehreren Jahren bekannt, aber offensichtlich wurden die Sicherheitspatches bislang nicht flächendeckend installiert. Was Angreifer nach erfolgreichen Attacken konkret anstellen, ist derzeit nicht bekannt.
Die Fortinet-Lücke (CVE-2020-12812 „kritisch“) ist seit Juli 2020 bekannt. Im April 2021 gab es erste Berichte zu Attacken [1]. Das FBI und die CISA vermuteten hinter den Angriffen staatlich geförderte Cybercrimegruppen [2]. Nun hat Fortinet einen neuen Beitrag zur Schwachstelle veröffentlicht und warnt vor erneuten Angriffen. [3]
Unter bestimmten Bedienungen können Angreifer die Zwei-Faktor-Authentifizierung (2FA) umgehen und sich so Zugriff auf Instanzen verschaffen. In der Warnmeldung listen die Entwickler bedrohte Konfigurationen auf. Außerdem finden Admins dort Hinweise, an denen sie bereits erfolgreich attackierte Systeme erkennen können. Dagegen sind die FortiOS-Versionen 6.0.10, 6.2.4 und 6.4.1 abgesichert.
In welchem Umfang die Angriffe ablaufen und wer dahintersteckt, ist derzeit unklar. Sicherheitsforscher von Shadowserver zeigen auf, dass derzeit noch mehr als 10.000 ungepatchte Instanzen über das Internet erreichbar sind.
Sicherheitsforscher von Greynoise haben in einem Beitrag [4] Attacken auf Adobe ColdFusion dokumentiert. Dabei setzen die Angreifer an verschiedenen Lücken an, die größtenteils aus 2023 stammen. Im schlimmsten Fall führen Angreifer ohne vorherige Authentifizierung Schadcode aus der Ferne aus.
In dem Beitrag finden Admins konkrete Hinweise wie IP-Adressen, an denen sie attackierte Instanzen erkennen können. Admins sollten sicherstellen, dass ColdFusion auf dem aktuellen Stand ist. Der Großteil der attackierten Systeme findet sich in den USA. In Deutschland haben die Sicherheitsforscher eigenen Angaben zufolge 100 Attacken dokumentiert.
Siehe auch:
URL dieses Artikels:
https://www.heise.de/-11128770
Links in diesem Artikel:
[1] https://www.heise.de/news/Fortinet-Angreifer-nutzen-kritische-Schwachstellen-im-VPN-fuer-kuenftige-Attacken-6005038.html
[2] https://www.ic3.gov/CSA/2021/210402.pdf
[3] https://www.fortinet.com/blog/psirt-blogs/product-security-advisory-and-analysis-observed-abuse-of-fg-ir-19-283
[4] https://www.labs.greynoise.io/grimoire/2025-12-26-coldfusion/
[5] https://www.heise.de/download/product/coldfusion-36003?wt_mc=intern.red.download.tickermeldung.ho.link.link
[6] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Sashkin/Shutterstock.com)
Im Plex Media Server klaffen Sicherheitslecks, durch die Angreifer sich unbefugt Zugriff verschaffen können. Updates stehen aus.
Im Plesk Media Server hatten die Entwickler im August eine Sicherheitslücke geschlossen. Kurz darauf gemeldete Zugriffssicherheitslecks haben sie offenbar jedoch noch nicht ausgebessert. Nutzerinnen und Nutzer sollten daher die Zugriffsmöglichkeiten sicherheitshalber einschränken.
In den am Wochenende veröffentlichten Schwachstellenmeldungen weist der Entwickler Luis Finke [1] darauf hin, dass die Authentifizierungsschwachstelle CVE-2025-34158 (CVSS 8.5, Risiko „hoch“) zwar mit Version 1.42.1 vom Plex Media Server im August geschlossen wurde [2]. Jedoch stehen flankierende Sicherheitslücken in der Zugriffstoken-Verwaltung weiterhin offen und stellen ein Risiko dar. Sie ermöglichen persistenten unautorisierten Zugriff, Rechteausweitung und erzeugen Probleme beim Zurückziehen kompromittierter Zugangsdaten.
Am schwersten wiegt demnach eine Lücke in Plex Media Server bis einschließlich der aktuellen Version 1.42.2.10156 vom September, durch die Angreifer sich mit einem temporären Zugangstoken durch einen Aufruf von „/myplex/account“ einen permanenten Zugangstoken verschaffen können (CVE-2025-69414 [3], CVSS 8.5, Risiko „hoch“). Ein ähnlicher Aufruf, jedoch mit einem Geräte-Token, prüft nicht korrekt, ob das Gerät überhaupt mit einem Konto verknüpft ist (CVE-2025-69415 [4], CVSS 7.1, Risiko „hoch“).
Zwei weitere Sicherheitslücken betreffen das plex.tv-Backend bis einschließlich der Version vom 31.12.2025. Ein nicht-Server-Geräte-Token kann andere Token aus „clients.plex.tv/devices.xml“ abgreifen, die für anderweitige Zugriffe vorgesehen sind (CVE-2025-69416 [5], CVSS 5.0, Risiko „mittel“). Selbiges gelingt über einen „shared_servers“-API-Endpunkt (CVE-2025-69417 [6], CVSS 5.0, Risiko „mittel“).
Da noch keine Aktualisierungen bereitstehen, die die teils hochriskanten Sicherheitslücken stopfen, sollten Plex-Nutzerinnen und -Nutzer die Zugriffe auf den Server auf vertrauenswürdige Adressen beschränken.
URL dieses Artikels:
https://www.heise.de/-11128582
Links in diesem Artikel:
[1] https://github.com/lufinkey/vulnerability-research/blob/main/CVE-2025-34158/README.md
[2] https://www.heise.de/news/Plex-Mediaserver-Entwickler-raten-zu-zuegigem-Sicherheitsupdate-10538755.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2025-69414
[4] https://nvd.nist.gov/vuln/detail/CVE-2025-69415
[5] https://nvd.nist.gov/vuln/detail/CVE-2025-69416
[6] https://nvd.nist.gov/vuln/detail/CVE-2025-69417
[7] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: The Länd)
Cyberangriff auf den Fan-Shop von Baden-Württemberg. Betrüger manipulierten die Bezahlseite, Kundendaten könnten betroffen sein.
Der Online-Shop des baden-württembergischen Staatsministeriums hat mit einem Cyberangriff zu kämpfen. Nach Angaben des Landes nutzten Angreifer im Zeitraum vom 27. bis 29. Dezember 2025 eine bislang unbekannte Sicherheitslücke im Shop-System von „THE LÄND“ aus. Der „Fänshop“ der Seite ist inzwischen offline. Das Staatsministerium hat nach eigenen Angaben unmittelbar reagiert, den Online-Shop abgeschaltet und Strafanzeige gestellt.
Wie ein Sprecher des Staatsministeriums auf Anfrage mitteilt, könnten die Angreifer „Zugriff auf Kundendaten wie Namen und E-Mail-Adressen erlangt haben“. Der Shop sei nicht nur kompromittiert, sondern aktiv manipuliert worden: „Zudem wurde eine manipulierte Bezahlseite eingerichtet, über die versucht wurde, Kreditkartendaten von Kundinnen und Kunden abzugreifen und Zahlungen einzuziehen.“
Nach bisherigem Kenntnisstand geht das Land von „einer niedrigen zweistelligen Zahl von geschädigten Personen“ aus. Eine abschließende Analyse laufe noch. Zwar seien im regulären Betrieb „grundsätzlich die Zahlungsmethoden Vorkasse (Überweisung) und PayPal“ vorgesehen, doch hätten die Angreifer auch bei eigentlich kostenlosen Artikeln wie den bekannten „Nett hier“-Aufklebern versucht, Kreditkartenzahlungen auszulösen. „Die tatsächlich abgebuchten Beträge lagen dabei deutlich über den im Bestellprozess ausgewiesenen Summen“, heißt es weiter.
Bei dem Shopsystem handelt es sich aller Wahrscheinlichkeit nach um eines von Gambio. Der Anbieter hatte am 30.12.2025 in einem Foreneintrag [1] ein „neues Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern dringend empfehlen". Die Lücke, die 25.000 Shops betreffen dürfte, wird als „kritisch“ eingestuft.
Kundinnen und Kunden wurden informiert, wie auch einem Beitrag auf Reddit [2] zu entnehmen ist. Betroffene sollen ihre Konto- und Kreditkartenabrechnungen sorgfältig prüfen und bei Auffälligkeiten umgehend reagieren. Hinweise zum Vorfall nimmt das Land per Mail an shop@thelaend.de entgegen. Die Ermittlungen und die forensische Aufarbeitung des Vorfalls dauern an.
URL dieses Artikels:
https://www.heise.de/-11127295
Links in diesem Artikel:
[1] https://www.gambio.de/forum/threads/wichtiges-security-update-2025-12-v1-0-0-fuer-alle-versionen-bis-gx5-v5-0-1-0.52593/
[2] https://www.reddit.com/r/de_EDV/s/ObAt3ZShyi
[3] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: ESA)
Die ESA versichert, dass von einem „Cybersicherheitsproblem“ lediglich Server außerhalb des hauseigenen Netzwerks betroffen sind. Viel ist aber nicht bekannt.
Die Europäische Weltraumagentur ESA hat einen „Cybersicherheitsvorfall“ eingestanden, aber versichert, dass er lediglich Server „außerhalb des hauseigenen Netzwerks“ betroffen habe. So steht es in einem Beitrag auf dem Kurznachrichtendienst X, der noch vor dem Jahreswechsel veröffentlicht wurde. Das erfolgte als Reaktion auf die Behauptung eines Unbekannten, für eine Woche Zugriff auf Systeme der ESA gehabt zu haben, wie Bleeping Computer berichtet hatte. Demnach hat die Person schon vorige Woche erklärt, mehr als 200 Gigabyte an Daten abgegriffen zu haben und diese zum Verkauf angeboten. Dazu hat sich die ESA nicht geäußert.
Laut der Stellungnahme der ESA [1] hat die inzwischen durchgeführte Analyse ergeben, dass „nur eine sehr kleine Zahl von Servern“ betroffen war. Darauf hätten „nicht geheime“ Dokumente für die Zusammenarbeit mit der Wissenschaft gelegen. Alle relevanten Organisationen seien informiert worden, weitere Informationen würden folgen, „sobald diese verfügbar sind“. Laut Bleeping Computer [2]behauptet der angeblich Verantwortliche, unter anderem Quellcode, API- sowie Zugangstoken, Konfigurations- und SQL-Dateien sowie weitere Zugangsdaten erbeutet zu haben. Abgegriffen wurden diese demnach auf Jira- und Bitbucket-Servern.
Auch wenn die ESA nahelegt, dass die Cyberattacke nicht besonders schwerwiegend war, so ist der Vorfall doch mindestens unangenehm. Erst im Frühjahr hat die Weltraumagentur ein IT-Sicherheitszentrum eröffnet [3], das von zwei Standorten aus die „digitalen Vermögenswerte“ der ESA überwachen und schützen soll. Dabei geht es um „Satelliten im Weltraum bis hin zum weltweiten Netz Bodenstationen und Missionskontrollsystemen auf der Erde“, wie es damals hieß. Das Cyber Security Operations Centre (C-SOC) sollte auch als Antwort auf die stetig steigende Bedrohungslage verstanden werden.
URL dieses Artikels:
https://www.heise.de/-11126973
Links in diesem Artikel:
[1] https://x.com/esa/status/2005938460448715055
[2] https://www.bleepingcomputer.com/news/security/european-space-agency-confirms-breach-of-external-servers/
[3] https://www.heise.de/news/Cyber-Security-Operations-Center-ESA-will-mehr-IT-Sicherheit-10400120.html
[4] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[5] mailto:mho@heise.de
Copyright © 2026 Heise Medien
(Bild: media.ccc.de, CC BY 4.0)
Eine IT-Sicherheitsforscherin deckt auf, wie der QR-Code eines Rollstuhls zum Generalschlüssel für alle Komfortfunktionen wird.
Die IT-Sicherheitsforscherin und Rollstuhlnutzerin Elfy beschäftigte sich aus persönlicher Betroffenheit intensiv mit dem e-motion M25 von Alber. Was sie dabei antrieb, war nicht zuletzt die Preispolitik des Herstellers: Für Funktionen wie das Umschalten des Fahrmodus (99 Euro), ein höheres Geschwindigkeitslimit (99 Euro) oder die Fernbedienung per App (99 Euro) werden saftige Aufpreise fällig; eine spezielle Bluetooth-Fernbedienung kostet sogar bis zu 595 Euro. Elfy wollte wissen, ob diese Komfortfunktionen technisch wirklich abgesichert sind – oder ob der Zugang in Wahrheit viel einfacher ist.
In ihrem Vortrag auf dem 39. Chaos Communication Congress (39C3) [1] erklärte Elfy, dass sämtliche Komfort- und Premiumfunktionen des M25 – wie etwa höhere Geschwindigkeit, der Wechsel zwischen Fahrmodi oder die App-basierte Fernsteuerung – ausschließlich per Software und kostenpflichtige Freischaltungen aktiviert werden. Elfy betonte, dass die Hardware ihrer Ansicht nach durchweg identisch sei und sich die Unterschiede nur durch die Software-Freischaltung ergäben. Zur Hardware sagte sie wörtlich: „Die Hardware ist eigentlich wirklich gut, sie tut, was sie soll, und funktioniert wirklich bequem und praktisch."
Der Hersteller betone in offiziellen Dokumenten und gegenüber Behörden wie der der Food and Drug Administration (FDA) in den USA, dass sämtliche Bluetooth-Kommunikation „verschlüsselt" und damit sicher sei. In einem Schreiben an die FDA heißt es: „All wireless communications is encrypted." (Alle kabellosen Kommunikationen sind verschlüsselt.) Für Nutzer bedeute dies jedoch in erster Linie eine Preisschranke, keine tatsächliche Sicherheit, so Elfy.
Kern der Sicherheitsarchitektur beim e-motion M25 ist ein 22-stelliger QR-Code („Cyber Security Key"), der gut sichtbar auf jeder Radnabe angebracht ist. Die offizielle App scannt diesen Code bei der Ersteinrichtung und leitet daraus deterministisch den AES-128-Schlüssel für die Bluetooth-Kommunikation ab. Elfy erklärte dazu: „Der AES-Key für jedes Rad ist ein QR-Code, der auf der Radnabe aufgeklebt ist." Und weiter: „Mit diesem Key kann man komplett den Rollstuhl übernehmen."
Es gebe keine zusätzliche Absicherung, etwa durch Salt, Hardwarebindung oder ein weiteres Geheimnis im Gerät. Jeder mit einer Kamera könne theoretisch den QR-Code abfotografieren und das Rad steuern. Elfy ergänzte: „Und das nennen die dann Cyber Security Key." Die genaue Methode der Schlüsselableitung und die technischen Details sind im zugehörigen GitHub-Repository dokumentiert [2].
Technisch kommt laut Hersteller und Analyse von Elfy eine standardisierte AES-128-Verschlüsselung im CBC-Modus zum Einsatz. Elfy sagte dazu: „Das Schöne daran ist, dass die Kryptografie eigentlich in Ordnung ist. Es ist AES-128-CBC." Doch entscheidend sei: Es gibt keine Integritäts- oder Authentizitätsprüfung der Nachrichten. „Sie benutzen einfach den Standardkram, PKCS7-Padding, und das war's", so Elfy. Weder ein Message Authentication Code (MAC) noch ein Authenticated Encryption-Modus (AEAD) werde verwendet.
Das mache das System nicht nur anfällig für Replay- und Manipulationsangriffe, sondern ermögliche auch das gezielte Bit-Flipping in verschlüsselten Nachrichten. Auch Initialisierungsvektoren würden nicht für jede Nachricht neu generiert. Elfy sagte: „An mehreren Stellen hatte ich das Gefühl, sie kennen die Grundlagen, aber haben dann aufgehört, über Probleme nachzudenken." Die Implementierung der Verschlüsselung ist offen einsehbar [3].
Das proprietäre Protokoll zwischen App, Fernbedienung und Antrieb sei laut Elfy überraschend einfach aufgebaut. Im Vortrag sagte sie: „In der Theorie ist das wirklich keine komplizierte Sache. Es gab ein paar lustige Designentscheidungen, aber es ist grundlegendes Zeug. Es ist nicht kompliziert." Nachrichten enthalten Service-IDs, Parameter und Nutzdaten. Die gesamte Struktur hat Elfy auf GitHub dokumentiert [4].
Für die Analyse habe Elfy die Android-App dekompiliert, Firmware und Traffic mitgeschnitten und daraus ein Python-Toolkit erstellt. Elfy berichtete: „Ich habe die Fernbedienung ersetzt, das sind mehrere hundert Zeilen Python-Code, die mit meinem Rollstuhlantrieb sprechen. Ich konnte die Parkfunktion ersetzen. Ich konnte einige Wartungsfunktionen ersetzen. Ich habe den Dealer Mode ersetzt, und dieser Selbstfahr-Modus kann auch komplett gemacht werden."
Elfy wies darauf hin, dass sich die teuren Fernbedienungen in der Hardware kaum von günstigeren Varianten unterscheiden: „Die Hardware dieser Fernbedienung ist nahezu identisch. Die teurere Variante ist ein Boolean-Flag in der Konfigurations-Software des Herstellers. Und sie vermarkten das als zwei verschiedene Produkte."
Die Premiumfeatures würden rein softwareseitig durch die App freigeschaltet. Elfy sagte dazu: „Die Bezahlung schaltet nur die grafischen Benutzeroberflächen in der App frei. Am Antrieb selbst ändert sich nichts. Es werden nur bestimmte Teile der Anwendung sichtbar, die ohne Bezahlung nicht sichtbar sind."
Auch Händler- und Wartungsfunktionen seien nicht durch Hardware geschützt. Elfy erklärte: „Man muss das Passwort kennen. Es war nicht besonders gut versteckt. Das Passwort war in einigen PDFs im Internet. Aber ich habe das Passwort im Klartext aus der Android-App bekommen."
Elfy wies darauf hin, dass diese Schwachstelle alle M25-Systeme betreffe: „Ich habe auf diesem Kongress schon zwei oder drei andere außer meinem gesehen. Also scannt bitte nicht die QR-Codes anderer Leute. Denn ihr könntet Schaden anrichten."
Die Verschlüsselung werde so zur reinen Formsache, während die Zugangskontrolle auf einem offen einsehbaren Sticker beruht. Elfy betonte, dass AES-128 nur so lange sicher sei, wie der Schlüssel geheim bleibe – im Falle des M25 sei der Schlüssel aber ganz offen als QR-Code auf dem Rad sichtbar.
Elfys Vortrag machte deutlich, dass starke Algorithmen allein keine Sicherheit garantieren. Ohne durchdachtes Schlüsselmanagement und robuste Protokolle bleibe die Kontrolle über das eigene Gerät letztlich beim Hersteller – es sei denn, Nutzer greifen selbst zu Werkzeugen wie Elfys offenen Python-Toolkit [5]. Die vollständige Analyse, Skripte und Dokumentation finden sich ebenfalls im GitHub-Repository [6].
URL dieses Artikels:
https://www.heise.de/-11126816
Links in diesem Artikel:
[1] https://events.ccc.de/congress/2025/hub/en/event/detail/pwn2roll-who-needs-a-599-remote-when-you-have-wheelchair-py
[2] https://github.com/roll2own/m5squared#getting-your-keys
[3] https://github.com/roll2own/m5squared/blob/main/m25_crypto.py
[4] https://github.com/roll2own/m5squared/tree/main/doc
[5] https://github.com/roll2own/m5squared
[6] https://github.com/roll2own/m5squared/tree/main/doc
[7] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[8] mailto:vza@heise.de
Copyright © 2026 Heise Medien
(Bild: JLStock/Shutterstock.com)
IT-Sicherheitsforscher haben die Verbreitung von für MongoBleed anfällige Instanzen untersucht. In Deutschland stehen über 11.500.
IT-Admins kommen „zwischen den Jahren“ nicht zur Ruhe. Zu Weihnachten wurde eine hochriskante Sicherheitslücke in MongoDB [1] mit dem Spitznamen „MongoBleed“ bekannt, durch die Angreifer aus dem Netz ohne vorherige Authentifizierung etwa an Zugangsdaten gelangen können, was an das „CitrixBleed“-Desaster Ende 2023 [2] erinnert. Global sind zigtausende Systeme derzeit noch anfällig – und Deutschland landet mit mehr als 11.500 anfälligen Instanzen auf dem unrühmlichen dritten Platz.
Das berichten IT-Sicherheitsforscher von Resecurity in einem Blogbeitrag [3]. Nachdem für die Schwachstelle CVE-2025-14847 (CVSS 8.7, Risiko „hoch“) Proof-of-Concept-Code zum Missbrauc [4]h öffentlich wurde, sind massenhafte Angriffe zu erwarten. Umso schwerer wiegt, dass Resecurity mit der Shodan-Datenbank bei der Suche nach MongoDB-Instanzen, die sich mit verwundbaren Versionen melden, weltweit fast 90.000 Instanzen gefunden hat.
Am meisten verwundbare Systeme stehe in China, 16.576 hat Shodan am Dienstag dieser Woche dort gefunden. An zweiter Stelle folgen die USA mit 14.486 anfälligen Instanzen, und auf Platz drei liegt bereits Deutschland mit 11.547 angreifbaren und im Netz erreichbaren MongoDB-Servern. Abgeschlagen geht es mit Hongkong weiter, wo immerhin noch 5.521 anfällige MongoDBs zu finden sind.
Besonders auffällig ist Deutschland bei der Verteilung nach Providern. Weltweit auf Platz eins steht Hetzner Online GmbH, dort liegen 6.828 verwundbare MongoDB-Server. Erst danach folgt Alibaba Cloud (Aliyun) mit 6.226 attackierbaren Instanzen. Weitere namhafte Größen wie Google landen mit 3.364 exponierten, anfälligen MongoDB-Servern auf Platz fünf.
Eine Einschränkung nennt Resecurity noch: Um verwundbar zu sein, muss die zlib-Kompression aktiviert sein – was jedoch laut IT-Sicherheitsforschern oftmals die Standardkonfiguration darstellt. Admins sollten spätestens jetzt die verwundbaren Instanzen auf eine sichere Softwareversion aktualisieren, dafür steht MongoDB in Fassung 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 und 4.4.30 und neuer bereit. Ältere Versionen sind am End-of-Life angelangt und erhalten keinen Patch mehr. Wer nicht umgehend aktualisieren kann, soll laut Resecurity etwa die zlib-Kompression als temporäre Gegenmaßnahme deaktivieren oder zu einer alternativen Kompression wechseln sowie den Zugriff auf den MongoDB-Netzwerkport (standardmäßig 27017) etwa mittels Firewalls oder VPN beschränken.
URL dieses Artikels:
https://www.heise.de/-11126702
Links in diesem Artikel:
[1] https://www.heise.de/news/MongoDB-kritische-Sicherheitsluecke-in-NoSQL-Datenbank-11124891.html
[2] https://www.heise.de/news/CitrixBleed-erst-nach-zwei-Wochen-gepatcht-36-Millionen-Kundendaten-abgegriffen-9579227.html
[3] https://www.resecurity.com/blog/article/mongobleed-cve-2025-14847-mongodb-memory-leak-flaw
[4] https://www.heise.de/news/MongoBleed-Exploit-fuer-kritische-Luecke-in-MongoDB-erleichtert-Angriffe-11125112.html
[5] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
(Bild: media.ccc.de, CC BY 4.0)
Vom Cyberdome zu „AI Slop“: Experten analysieren den Status quo der IT-Sicherheit und enthüllen eine nahe Zukunft, in der Backups Leistungssport werden dürften.
In den Messehallen Hamburgs herrschte am Dienstag die zum Jahresende übliche Mischung aus technologischer Zuversicht und Pessimismus. Doch als Ron Fulda und Constanze Kurz die Bühne des 39. Chaos Communication Congress (39C3 [1]) betraten, wich der Rest-Optimismus einer schauerlich-schrecklichen Bestandsaufnahme des digitalen Scheiterns. Unter dem Titel „Security Nightmares“ skizzierten die Hacker-Urgesteine ein Bild der IT-Sicherheit, das zwischen staatlichem Größenwahn und der drohenden „Enshittification“ durch KI pendelte. Ein Aufhänger: Angesichts der andauernden Ransomware-Bedrohung rief das Duo vom Chaos Computer Club (CCC) nach Backup-Wettbewerben im Stil sportlicher Großereignisse.
Der traditionell mit viel Hackerironie geschärfte Blick in die nahe Zukunft [2] war geprägt von einer zunehmenden Automatisierung – sowohl beim Angriff als auch bei der Verteidigung. Kurz verwies auf das Eckpunktepapier für einen „Cyberdome“ [3]. Die in Israel von Bundesinnenminister Alexander Dobrindt (CSU) aufgeschnappte Idee soll 2026 in ein Realisierungskonzept münden. Das Ziel klingt nach Science-Fiction: Ein digitaler Schutzschild für Wirtschaft und Gesellschaft, der „informatische Angriffe“ vollautomatisiert abwehrt.
Die Hacker-Community bleibt skeptisch. Wenn die Technik versagt, hilft nur die klassische Tugend der IT: das Backup. „Wir fordern die Bundesdatensicherungsspiele“, erklärte Fulda mit Blick auf zahllose gescheiterte Wiederherstellungsversuche in Verwaltung und Industrie: „Am Ende ist ein gutes Backup das Last Level of Defence.“ Das Thema müsse positiv besetzt werden, weg von den „Backup Hunger Games“ zu einer Kultur des Gelingens. Wer nachweisen könne, dass er seine Daten tatsächlich erfolgreich zurückspielen kann, sollte Medaillen oder zumindest Teilnahmeurkunden und Bildungsurlaub erhalten. Der Zustand der digitalen Welt sei teils absurd: So gebe es zwar den gesetzlichen Zwang zur freien Browserwahl im Betriebssystem. Es fehle aber eine Selektionspflicht dazu, ob Daten lokal, in der eigenen Cloud oder überhaupt auf diesem Planeten gespeichert werden müssten.
Für 2026 prognostizieren Kurz und Fulda auch eine neue Eskalationsstufe der KI-Integration. Es drehe sich längst nicht mehr alles darum, Nutzerverhalten für Werbung auszuspähen. Mit „Agentic Add-ons [4]“ – eigenständig handelnden Bots – erreiche die Enshittification ein neues Level [5]. Fulda scherzte über „Gegenschnittstellen“ und offene Standards für die Bestechung solcher KI-Agenten.
Gleichzeitig droht ein massives Ressourcenproblem. Während der Energie- und Wasserverbrauch von Rechenzentren bereits diskutiert wird, könnte 2026 der RAM-Verbrauch zum großen Ärgernis für Konsumenten werden, hieß es. Eine Rückkehr zu schmaler, effizienter Software wäre zwar wünschenswert, aber mit dem Trend zum Vibe-Coding – dem Zusammenklicken von Quelltext durch Nicht-Programmierer mittels KI [6] – kaum vereinbar.
Um die Absurdität der Gegenwart zu verstehen, lohnt laut Fulda und Kurz die Erinnerung an 2015. Vor zehn Jahren war die Welt der IT-Sicherheit noch eine andere, wenn auch die Keime der heutigen Probleme bereits sichtbar waren [7]. Damals wurde über den ersten Cyber-Bankraub in Höhe von einer Milliarde Dollar gestaunt – eine Summe, die heute angesichts von Krypto-Scams fast bescheiden wirkt. Fulda betonte: „Das war ja noch vor dem großen Bitcoin-Hype.“
Ein Highlight der Retrospektive war die vernetzte Puppe „Hello Barbie“. Damals als Sicherheitsdesaster fürs Kinderzimmer verschrien [8], zog Fulda eine Parallele zu heutigen KI-Systemen wie ChatGPT. Auch Barbie hatte ein Backend, das jahrelang live war. Zudem hat das Spielgerät laut den Hackern die Frage aufgeworfen, ob Spielzeughersteller verpflichtet seien, Kindesmissbrauch bei Kenntnisnahme durch die Puppe zu melden. Heute drehe sich die Debatte um Chatverläufe bei Suiziden [9] und KI-Halluzinationen, erklärte Fulda: „Wenn die KI sagt: 'Das wird mir zu hart, ich übergebe an einen Menschen', und dann geht niemand ans Telefon – das ist die Realität, in der wir angekommen sind.“
Auch staatliche Überwachung war 2015 schon Dauerthema. Der große Leak bei Hacking Team [10] beschäftigte die Community lange. Kurz dachte zurück an die Nächte, die sie sich um die Ohren schlug. Mit Helfern wollte sie im Datenwust den Beweis finden, dass auch das Bundeskriminalamt (BKA) Kunde der italienischen Trojaner-Schmiede war [11]. Während die Tüftler damals noch vor Desinformationskampagnen im US-Wahlkampf zitterten, wirkt die aktuelle Lage deutlich düsterer. Fulda trocken: „Heute sind wir froh, wenn es in drei Jahren überhaupt noch einen Wahlkampf gibt.“
Im Hier und Jetzt ist die IT-Sicherheit an einem kritischen Punkt angelangt. Die Statistiken, die Fulda präsentierte, sprechen eine deutliche Sprache: 119 neue Sicherheitslücken pro Tag, ein Anstieg von 24 Prozent im Vergleich zum Vorjahr. Gleichzeitig verfügen nur 44 Prozent der Deutschen über ein „sicheres Passwort“. Die Folgen sind fatal. 2024 gab es in England den ersten dokumentierten „Ransomware-Toten“ [12], da ein Angriff auf einen Dienstleister für Blutkonserven die medizinische Versorgung lahmlegte. „Die indirekten Toten wurden nie gezählt“, ergänzte Kurz düster.
(Bild: media.ccc.de [13], CC BY 4.0 [14])
Besonders genervt zeigten sich die Panelisten vom Zustand des Internets. Rund 20 Prozent der beliebtesten YouTube-Inhalte bestehe mittlerweile aus „AI Slop“. Dieser minderwertige, KI-generierte Content erziele dennoch Millionenumsätze. Auf TikTok liege der Anteil bei 60 Prozent. „Gibt es überhaupt noch jemanden mit einem normalen Gesicht in sozialen Netzwerken?“, fragte Kurz enttäuscht. Da immer mehr Software von Menschen „zusammengeklickt“ werde, die die Essenz des Programmierens nie gelernt haben, müssten Profis oft die Trümmer wegräumen. Fulda brachte ein weiteres Beispiel: „Wenn man in einer Kanzlei KI einsetzt, braucht man hinterher mehr Rechtsanwälte, um die unerwünschten Verfahren wieder loszuwerden.“
Auch das Militär – Chat der „Houthi-Gruppe“ mit Insidererkenntnissen zu Opsec geleakt [15] – und die Industrie blieben angesichts hoher Zero-Day-Wellen [16] und veritabler Cloud-Ausfälle [17] nicht verschont. Der schwere Cyberangriff auf Jaguar Landrover im Februar führte zu wochenlangen Werksschließungen [18] und einem Schaden von rund 2,2 Milliarden Euro [19]. Währenddessen toben im Hintergrund die „Infinity Crypto Wars“ [20]. Die britische Regierung forderte Zugriff auf iCloud-Daten [21], woraufhin Apple die „Advanced Data Protection“ für Neukunden in UK abschaltete [22]. Kurz weiß: „Die Gremien, die die Wunschlisten für Überwachung schreiben, haben heute einen sehr erfolgreichen Zugriff auf die Gesetzgeber.“
Trotz der vielen Schlafräuber gab es zum Ende einen zaghaften Lichtblick. Nach fast 17 Jahren politischer Debatte und einem entsprechenden Versprechen im Koalitionsvertrag der aktuellen Regierung unter Friedrich Merz (CDU) scheint das „Recht auf IT-Sicherheitsforschung“ endlich greifbar [23]. „Es soll jetzt tatsächlich so weit sein“, wollte Kurz die politischen Ankündigungen zur Novelle der Hackerparagrafen noch nicht so recht glauben. In einer Welt, in der nordkoreanische IT-Mitarbeiter nur durch ihre Tastatur-Verzögerungen identifiziert werden können [24], wäre ein solcher Schritt für die hiesigen Hacker zumindest ein kleiner Trostpreis bei ihren Leistungssportwettbewerben.
URL dieses Artikels:
https://www.heise.de/-11126693
Links in diesem Artikel:
[1] https://events.ccc.de/congress/2025/infos/startpage.html
[2] https://www.heise.de/news/38C3-CCC-Hacker-fordern-maschinenlesbare-TUeV-Plakette-fuer-vernetzte-Geraete-10222324.html
[3] https://www.heise.de/news/Mehr-IT-Sicherheit-Dobrindt-will-den-Cyber-Dome-10623448.html
[4] https://www.heise.de/select/ix/2025/10/2519810075015172992
[5] https://www.heise.de/news/39C3-Konzerne-ruinieren-das-Netz-Cory-Doctorows-Ideen-gegen-Enshittification-11126178.html
[6] https://www.heise.de/news/Vibe-Coding-Cleanup-Specialists-Diese-Menschen-reparieren-schlechten-KI-Code-10658670.html
[7] https://www.heise.de/news/32C3-Der-Sicherheits-Albtraum-geht-weiter-3057186.html
[8] https://www.heise.de/news/Erneute-Kritik-an-Hello-Barbie-App-mit-Schwachstellen-3032110.html
[9] https://www.heise.de/news/Mitschuld-an-Suizid-Eltern-verklagen-in-den-USA-OpenAI-10623362.html
[10] https://www.heise.de/news/Ueberwachungssoftware-Aus-Hacking-Team-wurde-Hacked-Team-2736160.html
[11] https://www.heise.de/news/Spaehsoftware-Das-BKA-zu-Besuch-bei-Hacking-Team-2784567.html
[12] https://www.heise.de/news/England-Cyberangriff-auf-Pathologiedienstleister-fuehrte-zum-Tod-eines-Patienten-10463860.html
[13] https://media.ccc.de/
[14] https://creativecommons.org/licenses/by/4.0/
[15] https://www.heise.de/news/US-Minister-besprechen-auf-Signal-Militaerschlaege-im-Jemen-Journalist-liest-mit-10327065.html
[16] https://www.heise.de/news/Citrix-Bleed-2-Aktuelle-Angriffswarnungen-10519742.html
[17] https://www.heise.de/news/AWS-Ausfall-Amazon-legt-vollstaendigen-Ursachenbericht-vor-10848208.html
[18] https://www.heise.de/news/Jaguar-Land-Rover-nimmt-Produktion-wieder-auf-10733932.html
[19] https://www.heise.de/news/Experten-Cyberangriff-auf-Jaguar-ist-teuerster-in-britischer-Geschichte-10811032.html
[20] https://www.heise.de/hintergrund/Missing-Link-Crypto-Wars-der-endlose-Streit-ueber-sichere-Verschluesselung-4967574.html
[21] https://www.heise.de/news/Geheimerlass-Datenschuetzer-klagen-gegen-britischen-Ueberwachungsbefehl-an-Apple-10317201.html
[22] https://www.heise.de/hintergrund/Ende-zu-Ende-Verschluesselung-So-will-Apple-iCloud-Nutzerdaten-besser-schuetzen-7469308.html
[23] https://www.heise.de/news/Zivilgesellschaft-macht-Druck-beim-Einhegen-der-Hackerparagrafen-10211017.html
[24] https://www.heise.de/news/Sekundenbruchteile-verraten-Nordkoreaner-11120504.html
[25] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[26] mailto:ps@ct.de
Copyright © 2025 Heise Medien
FreshRSS