Cybervorfälle, Hacks und Sicherheitslücken (18.6.2026)

Sicherheit (Pexels, allgemeine Nutzung)Ich packe mal einige Meldungen zu Sicherheitsthemen der letzten Stunden und Tage in einen Sammelbeitrag. In Joomla gibt es eine schwere Sicherheitslücke im Editor, Novo Nordisk wurde gehackt, genau so wie mutmaßlich der Europarat. LiteLLM könnte bei der AI-Nutzung Credentials an die Anbieter leaken, und so weiter. Sammlung der täglichen Sicherheitsbaustellen.

Novo Nordisk mit Datenabfluss

Der Pharmakonzern Novo Nordisk (Anbieter von Abnehmspritzen) wurde vor zwei Monaten gehackt. Bei diesem Vorfall wurden sensible Daten von medizinischen Studien abgezogen. heise hatte das gerade in diesem Artikel beleuchtet, die Meldung kreist aber bereits seit Tagen, nachdem das Unternehmen das öffentlich gemacht hatte (siehe).

Novo Nordisk Hack

Obiger Tweet legt noch einige Informationen offen. Die Hacker drangen bei Novo Nordisk über ein in einem Repository zurückgelassenes GitHub-Token ein und blieben zwei Monate lang im System. Dabei entwendeten sie 1,3 Terabyte  an Daten, darunter unveröffentlichte Arzneimittelformeln und interne KI-Modelle. Die Hackergruppe forderte anschließend 25 Millionen Dollar Lösegeld, was Novo Nordisk ablehnte. Nun verkaufen die Hacker die Daten von Ozempic im dem Dark Web.

China-Hacker in US-Systemen

Die Google Threat Intelligence Group (GTIG) hat eine ausgeklügelte Hacking-Kampagne der China zugeschriebenen Gruppe UNC6508 aufgedeckt. Die Angriffe richteten sich gegen Einrichtungen im nordamerikanischen akademischen, medizinischen und militärischen Forschungsbereich. Der Akteur blieb laut dieser Mitteilung über ein Jahr lang unentdeckt.

Die Angreifer kompromittierten öffentlich zugängliche Webanwendungen, setzten maßgeschneiderte Malware ein, verschaffte sich Zugang zu sensiblen internen Systemen und missbrauchte administrative Tools der Unternehmens zur verdeckten Datenexfiltration. Der Akteur verfolgte weitreichende Ziele bei der Datenerfassung, darunter sensible Verteidigungsinformationen in Bezug auf nationale Sicherheit, Operationen des Indo-Pazifik-Kommandos, künstliche Intelligenz, unbemannte Fahrzeugsysteme, offensive Cyberprogramme und medizinische Forschung. Details sind im GTIG-Report nachlesbar.

Joomla Editor-Schwachstelle (CVSS 10.0)

Blog-Leser Christoph hatte mich gestern bereits auf ein Problem mit Joomla informiert und schrieb: "Ich bin die letzten Tage durch mehrere gehackte Joomla-Seiten von Bekannten darauf gestoßen, dass es in dem (vermutlich schon verbreiteten) Editor JCE eine 10.0 Lücke gibt." Er ist dann auf die Schwachstelle CVE-2026-48907 gestoßen.

Die Joomla-Erweiterung – joomlacontenteditor.net – weist eine RCE-Schwachstelle (Remote-Codeausführung) auf. Betroffen ist die JCE-Erweiterung für Joomla < 2.9.99.5, und der CVSS-Base Score wurde mit 10.0 angegeben. Die Sicherheitslücke in der JCE-Editor-Erweiterung für Joomla ermöglicht die Erstellung neuer Editorprofile für nicht authentifizierte Benutzer. Das kann letztendlich zum Hochladen und zur Ausführung von PHP-Code führen.

Der Leser schrieb: "Mich hat es sehr gewundert, dass ich da in meinen üblichen Bubbles nichts darüber gesehen hab. Ist auf jeden Fall aktiv ausgenutzt.". In der Leserschaft des Blogs scheint Joomla nicht sehr verbreitet, die Abrufzahlen entsprechender Artikel sind grottig. Ich habe es aber mal in den Beitrag hier aufgenommen, und laut folgendem Tweet warnen auch CERTs vor der Schwachstelle.

Joomla-Schwachstelle CVE-2026-48907

Mysites.guru hat in diesem Artikel was dazu geschrieben.

Europarat gehackt?

Bleeping Computer berichtet im Artikel Council of Europe investigates ShinyHunters data breach claims, dass die Gruppe ShinyHunters behauptet, Daten aus dem IT-Netzwerk des "Council of Europe" (das ist der Europarat) abgezogen zu haben.

In einem Beitrag vom Wochenende auf der ShinyHunters Dark-Web-Leak-Seite wird behauptet, dass 429.000 Dokumente mit Personal- und Gehaltsdaten aus verschiedenen Abteilungen des Europarats gestohlen wurden. Die Daten sollen bei nicht Zahlung zum 16. Juni 2026 veröffentlicht werden. Die IT des Europarats prüft gerade, was da dran ist.

Mögliche Sicherheitslücke bei Conda

Marko S. hat mich über eine Warnung von Conda (Plattform conda-capital[.]com mit Zugang zum Kapitalmarkt) informiert. Der Anbieter schreibt, dass man Hinweise auf eine mögliche Sicherheitslücke im Umfeld der Website-Infrastruktur erhalten habe. Nach aktuellem Kenntnisstand bestand über einen externen Drittanbieter, der in die Conda WordPress-Infrastruktur eingebunden ist, die Möglichkeit eines unbefugten Zugriffs auf die Systeme.

Die Plattform geht zum jetzigen Zeitpunkt, laut Meldung, davon aus, dass keine Investoren von dieser Sicherheitslücke betroffen sind. Man habe umgehend vorsorgliche Maßnahmen ergriffen. Aus Sicherheitsgründen wurden alle CONDA-Webseiten, einschließlich der White-Label-Partnerplattformen, vorübergehend in den Wartungsmodus gesetzt.

Derzeit prüfen die Verantwortlichen, gemeinsam mit externen Experten, den Sachverhalt und die möglichen Auswirkungen. Sobald belastbare weitere Informationen vorliegen, will man weiter informieren.

Was können Sie als Website-Besucher:in tun?
Wenn Sie aktuell Interesse an einer Investition haben, können Sie uns direkt kontaktieren — auch während die Plattform offline ist, per E-Mail an: support@conda-capital.com. Bitte geben Sie dabei Ihren Namen, die gewünschte Emission sowie den geplanten Investitionsbetrag an. Unser Customer-Support-Team meldet sich schnellstmöglich bei Ihnen.

Offizielles Fifa-Streaming-Portal war hackbar

Eine Sicherheitsforscherin mit dem Alias BobDaHacker hat die Streaming-Plattform agents[.]fifa[.]org der Fifa einem genauen Blick unterzogen und stellte fest, dass dort unzureichende Sicherheitsprüfungen erfolgten. Die Sicherheitsprüfungen für den Entra-Tenant erfolgten wohl nur Client-seitig, wie die Sicherheitsforscherin in ihrem Blog-Beitrag schreibt. Sie hätte über Serverzugriffe die Streaming-Funktionen der Fifa manipulieren und einigen Unsinn treiben können. Golem hat das Thema in diesem Artikel auf Deutsch aufbereitet.

Kali365 FBI-Sicherheitswarnung: Teams, Outlook, OneDrive

Kali365 ist eine Phishing-as-a-Service-Plattform, die Microsoft-365-Nutzer von Teams, Outlook und OneDrive ins Visier nimmt. Kali365 bietet Abonnenten für 250 Dollar monatlich KI-generierte Phishing-Angriffe, automatisierte Kampagnen und OAuth-Token-Klau, um Multifaktor-Authentifizierung zu umgehen.

Kali365-FBI-Warnung

Das FBI warnt Nutzer von Teams, Outlook und OneDrive offiziell vor den Risiken, die von dieser Plattform ausgehen. Das FBI empfiehlt, verdächtige E-Mails mit Gerätecodes nicht zu öffnen und Vorfälle an ic3.gov zu melden; die Bedrohung wurde erstmals im April 2026 erkannt. The Hill hat in diesem Artikel noch einige Informationen zusammen getragen.

ZPOS-Sicherheitlücken und fehlende Reaktion

ZPOS Ltd betreibt einen Plattform für POS-Zahlungssysteme (müsste diese hier sein und es gibt auch eine App), die von vielen kleinen Geschäften, Restaurants etc. in Spanien, Portugal etc. zur bargeldlosen Abwicklung von Zahlungen genutzt wird.

ZOIS Sicherheitsprobleme

Sicherheitsforscher Paul Moore kritisiert in obigem Tweet die ZPos Ltd für anhaltende Sicherheitsmängel. Die Apps kommunizieren über unverschlüsseltes HTTP-Verbindungen, d.h. Passwörter und Zahlungsinfos werden im Klartext übertragen. Deren Server verwenden das veraltete PHP 5.5.9 aus dem Jahr 2014. Moore verweist auf einen sechs Monate älteren Thread, in dem er seit 2020 ignorierte Sicherheitsprobleme meldete, eine SAR nach GDPR stellte und eine Klage auf Entschädigung gerichtlich abgewiesen wurde. Sofern das zutrifft (Moore hat bei eigenen Zahlungen Missbrauchsversuche festgestellt), gehen Unternehmen, die ZPOS-Dienste für Zahlungen und EPoS verwenden, eine "Hypothek" ein. Denn sie setzen Kunden einem vermeidbaren Risiko aus, weil sensible Kundendaten ungeschützt bleiben. Es wird zu einem Wechsel des Zahlungsanbieters geraten.

Unsichere Reolink-Kameras

In einem weitere Tweet schreibt Paul Moore, er habe ReolinkTech mehrfach wegen schwerwiegender Sicherheitslücken in ihrer Infrastruktur kontaktiert. Reolink Überwachungskameras sind im breitem Einsatz. Jedes Mal habe die Firma sich geweigert, über ihre Architektur zu sprechen (Sicherheitsgründe wurden gelten gemacht). Moore hat in der Firmware aller aktuellen Geräte, einschließlich des OMVI 3i, aktivierten Cloud-/Rich-Benachrichtigungen folgende Probleme festgestellt.

  • Ohne ADP: Die Kameras laden rohes, unverschlüsseltes Bildmaterial auf Amazon S3 hoch. Die Verschlüsselung erfolgt nach Amazons Standardeinstellungen – mit Schlüsseln, die Amazon und Reolink kontrollieren. Nutzer haben keinen Schlüssel.
  • Mit ADP: Die Kamera sendet weiterhin unverschlüsseltes Videomaterial. Amazon verschlüsselt es mit einem Schlüssel, den Reolink ableitet und speichert. Das ADP-Passwort des Nutzers spielt bei der Verschlüsselung keine Rolle.

Reolinks eigene Sicherheitsseite sagt: "Auf alle Ihre Daten kann nur mit Ihrem Passwort zugegriffen werden." Das ist absolut und nachweislich falsch, sagt Moore. Reolink kann jederzeit auf das Bildmaterial der Nutzer zugreifen. Bei aktiviertem ADP ist lediglich der Zugriff von Amazon eingeschränkt.

Microsoft arbeitet am Defender RoguePlanet-Fix

Nightmare Eclipse hatte kürzlich ja eine RoguePlanet genannte 0-Day-Schwachstelle veröffentlicht (siehe Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt). Nun hat Microsoft bestätigt, dass man an einem Fix für die Schwachstelle CVE-2026-50656 arbeitet. Ein Termin für den Fix wurde nicht genannt.

KI-Risiken: LiteLLM und KI-Nutzung in US-Behörden

Ich kippe mal zwei Fundsplitter zu KI-Risiken hier in den Beitrag, die mir gerade untergekommen sind. Dürfte auch uns in Europa letztendlich betreffen.

Ein LiteLLM-Account kann Zugangsdaten leaken

LiteLLM ist ein Open-Source-KI-Gateway, das eine einheitliche Schnittstelle zum Aufruf von über 100 LLM-Anbietern (OpenAI, Anthropic, Gemini, Bedrock, Azure, etc.) bietet. Klingt doch cool – und Ende März 2026 hatte ich im Beitrag Databricks mutmaßlich Opfer des TeamPCP LiteLLM-Lieferkettenangriffs über einen Sicherheitsvorfall im Zusammenhang mit LiteLLM berichtet. Denn dieses KI-Gateway muss natürlich die Zugangsdaten für die LLM-Anbieter kennen.

LiteLLM-Risiko

The Hacker News weist in obigem Tweet auf die Risiken hin. Da LiteLLM als Gateway fungiert, liegen API-Schlüssel, gespeicherte Geheimnisse, Prompts, Antworten und Anmeldeinformationen für Agenten an einem Ort. Im Beitrag LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers weist The Hacker News auf eine kritische Schwachstellenkette (CVSS Score 9.9) in LiteLLM vor Version v1.83.14-stable hin, die Low-Privilege-Nutzern ermöglicht, sich zum Administrator zu machen, Code auszuführen, API-Keys zu stehlen und Prompts sowie Antworten zu lesen oder zu manipulieren und das LiteLLM-Gateways zu übernehmen.

Für Teams, die KI-Gateways nutzen, reicht das Aufspielen von Patches nicht aus. Diese sollten dringen überprüfen, welche Geheimnisse durch das Gateway geleitet wurden. Denn diese Geheimnisse sind im Zweifelsfall bereits zu Dritten abgeflossen. Ist doch immer wieder frappierend zu sehen, wie die Unternehmen potentiellen Angreifern solche Geheimnisse fein gesammelt auf dem Silbertablett freiwillig präsentieren. Die betteln geradezu danach, kompromittiert zu werden.

Risiko KI-Nutzung in US-Behörden

Sicherheitsexperte Bruce Schneier hat sich die Tage im Beitrag AI Use by the US Government über den KI-Einsatz in US-Behörden und die damit einhergehenden Gefahren ausgelassen. Anlass war, dass die Trump-Regierung am 14. April 2026 den weit verbreiteten Einsatz von KI zur Automatisierung staatlicher Prozesse einräumte. Das Amt für Verwaltung und Haushalt (OMB) gab bekannt, dass es in der gesamten US-Bundesregierung unglaubliche 3.611 aktive oder geplante Anwendungsfälle für KI gebe, schreibt Schneider.

Die Liste der Projekte enthalte viele beunruhigend anmutende Pläne, sensible staatliche Funktionen an KI zu übertragen, heißt es. Es gebe eine massive Verlagerung von Entscheidungsprozessen vom Menschen zur Maschine (KI) in Bereichen wie individuelle Freiheit, öffentliche Gesundheit und Wohlbefinden, Sicherheit von Kernreaktoren und vielem mehr.

  • Die Verwaltungsbehörde für Kinder und Familien des Ministeriums für Gesundheit und Soziales (HHS) beauftragte Palantir, alle Förderanträge zu prüfen, um diejenigen zu kennzeichnen, die ideologisch nicht mit den Vorgaben der Regierung übereinstimmen.
  • Das Bundesamt für Strafvollzug entwickelt ein KI-System zur Bewertung des "Potenzials für Fehlverhalten bei neu aufgenommenen Häftlingen", wodurch Personen in Hochsicherheitshaft eingewiesen werden, noch bevor sie während ihrer Haft tatsächlich etwas Unrechtes begangen haben.

Das Energieministerium testet den Einsatz von KI zur Steuerung von Kernreaktoren, um autonom auf potenzielle nukleare Sicherheitsvorfälle reagieren zu können. Schneier listet Beispiele auf, die zwischen George Orwells 1984 und "was soll schon [bei komplettem Kontrollverlust] schief gehen" rangieren.

The 2021 Honda Civic Entertainment-System-Jailbreak

Beim Honda Civic, Modelljahr 2021, lässt sich ein Jailbreak des Entertainment-Systems per USB-Stick durchführen. Das geht aus einem Artikel 2021 Honda Civic infotainment system can be jailbroken via USB — flaw uses public Android test keys to install unauthorized apps, enables for 'EvilValet' attacks auf Tom's Hardware hervor.

Der Softwarearchitekt Eric McDonald hat entdeckt, dass das Infotainment-System des Honda Civic aus dem Jahr 2021 über den vorderen USB-Anschluss eine eklatante Sicherheitslücke aufweist. Laut einem Blog-Beitrag ermöglicht Honda die Aktualisierung  des Systems über USB, überprüft aber nicht die einzuspielenden Patches auf Sicherheit. Die Hardware sucht lediglich nach einer signierten AOSP-Datei (Android Open Source Project) mit einem öffentlich bekannten Testschlüssel. Eröffnet zahlreiche Missbrauchsmöglichkeiten.

AMD entfernt Memory Crypto aus Consumer CPUs

Slashdot beschreibt in diesem Post, dass AMD einen vor einem Jahrzehnt eingeführten Schutzmechanismus aus CPUs für Endnutzer-Systeme entfernt. Bei High-End-CPUs gibt es Memory Crypto als Schutzmechanismus, um sie vor Cold-Boot-Angriffen und anderen Arten physischer Exploits zu schützen, bei denen sensible Daten aus den angeschlossenen Speicherchips abgezogen werden. TSME (Transparent Secure Memory Encryption) verschlüsselt den gesamten im Speicher abgelegten Inhalt und macht die Daten so für physische Angreifer unbrauchbar.

Die Schutzfunktion wurde dann auf weiteren CPUs integriert. Vor kurzem habe AMD bei AMD-Chipreihen der unteren Preisklasse den Schutz plötzlich abgeschafft (siehe hier). Das war auf Windows-Rechnern nicht zu erkennen. Bei der Nutzung von Linux soll dies einen erheblichen technischen Aufwand erfordern heißt es. AMD lehnt einen Kommentar ab, scheint die Schutzfunktion auf Low-End-CPUs auch nie entsprechend beworben zu haben. Tom's Hardware hat das Thema hier aufgegriffen.

Ergänzung: Nach der Berichterstattung hat AMD angekündigt, die Funktionen im Juli 2026 per BIOS-Update wieder zu reaktivieren, wie Tom's Hardware hier schreibt.

Thiel-Netzwerk: Leak der Teilnehmer

Und dann ist mir noch der Artikel Datenleck gibt Einblick in Peter-Thiel-Netzwerk bei Golem untergekommen. Es gibt ein Netzwerk um Investor Peter Thiel, das wohl jährliche, nicht öffentliche Treffen mit einflussreichen Personen abhält. Das Datenleck zeigt, wie einflussreiche US-Politiker, ausländische Regierungsvertreter und Tech-Führungskräfte zusammenkommen und sich über bestimmte Themen austauschen.

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

8 Kommentare zu Cybervorfälle, Hacks und Sicherheitslücken (18.6.2026)

  1. Peten sagt:

    Kodak hats wohl auch erwischt :(

    "Over 2.2 million records containing customer PIl and other internal corporate data was compromised," they said. "This is a final warning to reach out by 18 June 2026 before we leak along with several annoying (digital) problems that'll come your way."

    https://www.bleepingcomputer.com/news/security/kodak-confirms-data-breach-claimed-by-shinyhunters-extortion-gang/

  2. EinMensch sagt:

    Ja…. was kann ich sagen ausser…: Ich hasse die Inkompetenz der Entwickler, die Arroganz und Überheblichkeit mit denen Softwraefirmen und deren Entwickler Software abliefern , die für geeignete Personen (Hacker) letztendlich doch zu hacken sind, im großen Stil. Ich hasse die neuesten Betriebssysteme, die derart overbloated sind, mit Funktionen, die kaum einer braucht und neue Türen zum Eindringen bieten. Ich hasse auch die Digitalisierung, dir kaum funktioniert und wenn dann unsicher ist und auch noch von staatlicher Seite "einfach mal so" ausgerollt wird, "learning by mistakes"… Ich hasse all das. Deswegen werde ich mich weiter wehren wo ich kann um der Digitalisierung, besonders in sensiblen Bereichen , nicht zu folgen, nicht in mein Leben zu implementieren. Handy habe ich bewusst keines. Brauch ich nicht. Für was auch ? Um unterwegs zu telefonieren ? Nein, da acht eich lieber drauf nicht überfahren zu werden oder andere Verkehrsteilnehmer zu gefärden. Um einzukaufen ? Nein, ich bin nicht senil. Um mich selbst darzustellen mit Körperbildern und bewundert zu werden ? Nein, ich habe Selbsbewusstsein, ich brauche keinen Applaus von anderen. Katzenfilme ? Hundefilme ? Oh man….. nein danke. Zu faul um mich zu bewegen um Urkunden abzuholen in Ämtern oder Wohnsitzummeldungen etc ? Nein, ich habe Beine. All das brauche ich nicht und erst recht brauche ich keine ANGST dass meine Daten. Bilder und was weiss ich, irgendwo landen und missbraucht werden.

  3. Pascal Lohmann sagt:

    Zumindest in der kleinen Joomla Ecke versuche ich meinen Teil dazu beizutragen, dass Joomla sicher bleibt und habe tage- und nächtelang HTProtect als Mittel gegen die immer mehr aufklaffenden Sicherheitslücken in Kooperation mit Claude entwickelt. Ki gegen Ki.. 🤯
    https://website-bereinigung.de/blog/joomla-htaccess-basisverzeichnis-absichern-htprotect

  4. B Schürtz sagt:

    Vielleicht richtig stellen, weil's bei WordPress ja auch immer korrekt unterschieden wird:
    Es gibt *keine* Joomla-Schwachstelle. Das ist eine Schwachstelle in einem – vor vielen Jahren mal populären – Alternativ-Editor-Plugin, das vom Administrator aktiv installiert werden muss.

    • Pascal Lohmann sagt:

      Wichtig und richtig.
      Wenn von 100 Tsd Joomlas 35 Tsd den Alternativ-Editor JCE installiert haben, kann man den aber durchaus als immer noch sehr populär bezeichnen.
      #2 hinter Akeeba Backup.

      • Mario sagt:

        @Pascal
        Danke für den Link zu HTProtect, schaue ich mir gerne mal an.
        Gibt es aus deiner Erfahrung bessere Editoren als JCE?

        • Matthias sagt:

          Nein. Meiner Meinung nach ist der JCE der mit Abstand beste (und darum eben auch der beliebteste) Editor für Joomla. Und der Editor ist grundsätzlich auch sicher und sehr stabil. Der Entwickler weiss, was er tut. Aber eben: Sicherheitslücken werden neuerdings mit KI aufgestöbert und aktiv ausgenutzt.

  5. Markus Präg sagt:

    Danke für den Hinweis zu Joomla/Jce. In meinem Umfeld ist Joomla noch immer ein Thema und wird es auch bleiben. Trotz mehrerer Anläufe bin ich mit WordPress nie so gut klar gekommen, wie mit Joomla.

    Viele Grüße Markus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.