![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Zum Ende der Woche noch eine weitere Zusammenfassung einiger Sicherheitsmeldungen, die mir so untergekommen sind. So gibt es einen Hinweis, dass das Unternehmen TAP-Solutions gehackt worden sein k\u00f6nnte, da es merkw\u00fcrdige Mails verschickt. In SAMBA gibt es eine Schwachstelle, das SS7-Protokoll dient zur Massen\u00fcberwachung und mehr.<\/p>\n
<\/p>\n
Blog-Leser Martin hat mich die Woche kontaktiert und vermutete, dass die tap.de einen Sicherheitsvorfall erlitten habe (gefunden habe ich bei einer Suche nichts). Der Leser schrieb, \"dass das Unternehmen komische Rechnungen mit einem Onedrive-Link, scheinbar an alle Stellen, die jemals mit dem Unternehmen in Kontakt standen, verschicken w\u00fcrde\". Ans Telefon gehe dort leider keiner.<\/p>\n Ihm liegt nur die obige Meldung mit einer Warnung des Unternehmens vor, die besagt, dass \"von der Adresse AKUBICIEL@TAP.DE\" Mails verschickt wurden, die \"f\u00e4lschlich den Anschein erwecken\", vom Unternehmen zu stammen. Es wird gewarnt, diese Mails zu \u00f6ffnen oder Links anzuklicken. Systeme der Protected Link to TAP.DE Solutions GmbH<\/em> seien nicht betroffen, hei\u00dft es.<\/p>\n Der Leser schrieb, dass das Unternehmen keine spezifische Warnung verschickt habe und sieht das Ganze als DSGVO-Fall. Hier bin ich mir nicht so sicher, ob ich da zustimmen kann. Wenn das Unternehmen nicht gehackt wurde – was in obiger Meldung bestritten wird, k\u00f6nnte die Domain auch missbraucht worden sein. Ich hatte so einen Fall im Beitrag Kurzinfo: Spam, angeblich von borncity.com \u2013 Missbrauch von IP 95.211.93.115<\/a> schon mal aufgegriffen. Unter borncity.com wird definitiv kein Mail-Server betrieben, und trotzdem wurde angeblich SPAM von der Domain verschickt.<\/p>\n Andererseits schrieb mir der Leser, dass er die Aussage des Unternehmens als\u00a0schwierig empfinde, denn die Eintr\u00e4ge f\u00fcr DMARC, DKIM u. SPF etc. seien in den Phishing-Mails alle korrekt gewesen. Der Leser interpretiert dies so, dass bei denen m\u00f6glicherweise ein Postfach auf Exchange Online kompromittiert wurde und dieses Exchange Online dann nicht zu \"unseren IT-Systemen\" geh\u00f6rt. Wei\u00df jemand aus der Leserschaft an dieser Stelle mehr? Verschickte E-Mails liegen mir leider keine vor.<\/p>\n Erg\u00e4nzung: Ein Leser schrieb mir dazu, dass er berichten kann, dass Mail-Spoofing auch \u00fcber Exchange (E5 Lizenz) ein t\u00e4gliches Problem ist – trotz DMARC & Co.\u00a0Das Ganze geht\u00a0 laut Leser sogar soweit, dass Mitarbeiter von sich selbst Kalendereinladungen erhalten, die Phishing-Links direkt oder in Anh\u00e4ngen enthalten.\u00a0Und das Ganze passiere auch bei guter Administration, voll ausgebautem Sentinel mit 24\/7 SOC usw.\u00a0Microsoft hat da , in den Augen des Lesers, eindeutig Hausaufgaben zu machen und mutma\u00dflich jede Menge offene Tickets.<\/p>\n Es gibt ein Samba-Advisory zur Schwachstelle CVE-2025-10230<\/a>, die eine Remote-Ausf\u00fchrung von Befehlen erm\u00f6glicht, wenn auf einem Samba-Server die WINS-Unterst\u00fctzung aktiviert ist (standardm\u00e4\u00dfig ist sie deaktiviert) und Der vom Samba Active Directory Domain Controller verwendete WINS-Server Ein Leser hatte mich in einer privaten Nachricht auf Facebook kontaktiert, und schrieb, dass er \"aktuell Probleme beim Anmelden bei PayPal festgestellt habe\". Am 16. Oktober 2025 gab es einen weltweiten Ausfall beim Zahlungsdienstleister PayPal. Der Leser hatte mich auf einen reddit.com-Thread<\/a>, wo es Meldungen zu Login-Problemen gab. Inzwischen gibt es den Artikel PayPal und Venmo Ausfall: Was Developer und Entscheider aus dem Downtime-Desaster vom 16. Oktober 2025 lernen m\u00fcssen<\/a> von Never Code Alone. Gegen 11:00 Uhr ging am 16. Oktober 2025 bei Paypal und Venmo f\u00fcr ca 1 Stunde nichts mehr. Es waren keine Zahlungen m\u00f6glich.<\/p>\n Mit den Sicherheitsupdates vom 14. Oktober 2025 wurde auch ein Bug in ASP.NET Core gefixt, der mit einem CVSS 3.1-Score von 9,9 eingestuft war – der h\u00f6chste jemals vergebene Score f\u00fcr einen Bug in diesem Bereich. The Register hat hier<\/a> einige Erl\u00e4uterungen dazu ver\u00f6ffentlicht.<\/p>\n Im September 2025 hatte ich im Beitrag\u00a0Datenabfluss bei Stellantis; Cyberangriff auf Jaguar Land Rover; KFZ-Cyber-Sicherheit<\/a> \u00fcber einen Cyberangriff bei Jaguar Land Rover berichtet, der die Produktion \u00fcber Wochen lahm legte.<\/p>\n Das Medium The Telegraph berichtet<\/a> (leider Paywall), dass der <\/span>Cyberangriff<\/span> auf den <\/span>Autohersteller<\/span> Jaguar Land Rover <\/span>mit einer drittstaatlichen Beteiligung zusammenh\u00e4ngen k\u00f6nnte. Wird auch daraus geschlossen, weil das Unternehmen nach Kompromittierung nicht erpresst wurde.<\/span><\/p>\n In nachfolgendem Post macht Hypervisible auf den Artikel\u00a0The Surveillance Empire That Tracked World Leaders, a Vatican Enemy, and Maybe You<\/a> aufmerksam. Es geht um Massen\u00fcberwachung mittels des SS7 Protokolls im Mobilfunk durch Unternehmen wie NSO.<\/p>\n heise hatte das Thema die Woche in diesem Artikel<\/a> auf deutsch aufgegriffen. Ein zweiter Beitrag\u00a0Surveillance Secrets<\/a> befasst sich ebenfalls mit der Thematik.<\/p>\n In den Notebooks von Framework gibt es eine Schwachstelle in der UEFI-Shell, die eine Umgehung des Secure Boot erm\u00f6glicht. Darauf weist nachfolgender Tweet hin, der auf den Artikel\u00a0BombShell: The Signed Backdoor Hiding in Plain Sight on Framework Devices<\/a> von Eclypsium verlinkt.<\/p>\n Die Sicherheitsforscher schreiben, dass UEFI-Shells quasi signierte Hintert\u00fcren seien, und auf 200.000 Laptops und Desktops von Framework existieren. Es gibt BIOS-Updates, um die Schwachstelle zu fixen.<\/p>\n Dann gab es noch die Meldung, dass Angreifer den Internet Explorer-Modus in Microsoft Edge missbrauchten, um sich unbefugten Zugriff auf Benutzerger\u00e4te zu verschaffen. Die Angreifer verwenden\u00a0Social Engineering, um Opfer dazu zu verleiten, Seiten im IE-Modus neu zu laden. Dann nutzten sie eine Zero-Day-Sicherheitsl\u00fccke in der Chakra-JavaScript-Engine f\u00fcr die Remote-Codeausf\u00fchrung und die Ausweitung von Berechtigungen aus.<\/p>\n Dabei konnten sich die Chromium-Sicherheitsfunktionen umgehen.\u00a0Microsoft hat seitdem die Einschr\u00e4nkungen f\u00fcr den IE-Modus versch\u00e4rft und verlangt nun eine manuelle Konfiguration f\u00fcr bestimmte Websites. Details finden sich im Artikel Microsoft Locks Down IE Mode After Hackers Turned Legacy Feature Into Backdoor<\/a>auf The Hacker News.<\/p>\n Und dann ist mir noch nachfolgender Tweet<\/a> untergekommen, dass die\u00a0Volkswagen Group France, einen Cyberangriff erlitten hat, bei dem 150 GByte Daten abgezogen wurden.<\/p>\n Die Ransomware-Gruppe Qilin behauptet, in die Systeme der Volkswagen Group France, einer Tochtergesellschaft der Volkswagen AG, eingedrungen zu sein. Hier<\/a> und hier<\/a> gibt es noch einige Informationen.<\/p>\n Und dann gab es laut diesem Tweet<\/a> noch die Operation SIMCARTEL, bei der mehrere Cyberkriminelle festgenommen\u00a0wurden.\u00a0Europol und die lettischen Strafverfolgungsbeh\u00f6rden haben f\u00fcnf Server beschlagnahmt, sowie 1.200 SIM-Box-Ger\u00e4te und 40.000 aktive SIM-Karten sichergestellt.<\/p>\n Die Kriminellen standen in Verbindung mit \u00fcber 1.700 F\u00e4llen von Cyberbetrug in \u00d6sterreich und 1.500 F\u00e4llen in Lettland, wodurch Sch\u00e4den in H\u00f6he von mehreren Millionen Euro entstanden sind, darunter 4,5 Millionen Euro in \u00d6sterreich und 420.000 Euro in Lettland.<\/p>\n Beim Modekonzern Mango gab es einen Cybervorfall, bei dem Kundendaten erbeutet wurden. heise hat die Details in diesem Beitrag<\/a> aufbereitet.<\/p>\n Ein Blog-Leser hatte mich zum 16. Oktober 2025 informiert, dass er einen Abfluss von Daten beim externen Dienstleister cointracking.info<\/em> vermutet. Der Leser besitzt dort ein\u00a0Konto f\u00fcr die steuerliche Behandlung der Ums\u00e4tze. Er wurde von der futurum bank AG informiert, dass sein API Key gesperrt wurde. Der Leser erhielt folgende Information von der Bank:<\/p>\n Sehr geehrter Herr xxx,<\/p>\n wir m\u00f6chten Sie heute vorsorglich \u00fcber einen Sicherheitsvorfall bei einem externen Dienstleister informieren, der im Bereich Tax Reporting t\u00e4tig ist.<\/p>\n Im Rahmen dieses Vorfalls kam es zu einem Datenabfluss auf Seiten des betroffenen Anbieters. Dieser Anbieter verwendet API-Keys, die lesenden Zugriff auf Ihr Wallet erm\u00f6glichen.<\/p>\n Sie erhalten diese Nachricht, da mindestens einer Ihrer API-Keys betroffen ist. Der entsprechende Key wurde von uns bereits deaktiviert.<\/p>\n Wichtig: Es fand kein Transfer Ihrer Assets statt. Die Plattform Bitcoin.de ist nicht kompromittiert worden, sodass ein solcher Abfluss auch gar nicht m\u00f6glich gewesen w\u00e4re.<\/p>\n Wir empfehlen Ihnen, den betroffenen API-Key vollst\u00e4ndig zu l\u00f6schen. Grunds\u00e4tzlich raten wir immer dazu, externen Anbietern ausschlie\u00dflich API-Keys mit Leserechten zur Verf\u00fcgung zu stellen.<\/p><\/blockquote>\n Zu dieser Zeit hatte der Leser von\u00a0cointracking noch nichts geh\u00f6rt. Erg\u00e4nzung: Zum 18. Oktober 2025 informierte mich der Leser, dass er von cointracking folgende Information bekommen habe:<\/p>\n Hallo ****,<\/p>\n du erh\u00e4ltst diese E-Mail, weil du einen Bitcoin.de API-Key in deinem CoinTracking-Account hinterlegt hast.<\/p>\n Was ist passiert?<\/strong><\/p>\n Bitcoin.de hat mehrere Nutzer \u00fcber Versuche unautorisierter Auszahlungen bei bestimmten API-Keys informiert. Es wurde in keinem Fall tats\u00e4chlich Geld abgezogen, und es gibt keine Hinweise auf einen Sicherheitsvorfall bei CoinTracking selbst. Was solltest du jetzt tun?<\/strong><\/p>\n Aus Sicherheitsgr\u00fcnden empfehlen wir dir dringend:<\/p>\n 1. L\u00f6sche deinen aktuellen Bitcoin.de API-Key auf Bitcoin.de und CoinTracking<\/p>\n 2. Erstelle einen neuen API-Key auf Bitcoin.de mit folgenden Einstellungen:<\/p>\n Nur Leseberechtigung (read-only) 3. Trage den neuen Key in deinem CoinTracking-Account ein<\/p>\n Wichtige Sicherheitshinweise f\u00fcr API-Keys:<\/p>\n CoinTracking ben\u00f6tigt nur Leseberechtigung (read-only) Deine Daten sind sicher<\/strong><\/p>\n Es wurden keine unautorisierten Zugriffe auf CoinTracking festgestellt. Alle API-Secrets werden bei uns verschl\u00fcsselt gespeichert und sind f\u00fcr Mitarbeiter nicht einsehbar.<\/p>\n Wir untersuchen den Vorfall weiterhin und stehen in engem Austausch mit Bitcoin.de.<\/p><\/blockquote>\n Und falls mal Daten abhanden gekommen sein sollten, einfach bei der NSA nachfragen, ob diese nicht doch in irgend einem Backup finden.<\/p>\n Sicherheitsforscher haben eine Pixnapping-Angriffsmethode unter Android demonstriert, mit dem sich MFA-Codes Pixel f\u00fcr Pixel stehlen lassen sollen. Bleeping Computer hat das Ganze in diesem Artikel<\/a> aufbereitet.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Ende der Woche noch eine weitere Zusammenfassung einiger Sicherheitsmeldungen, die mir so untergekommen sind. So gibt es einen Hinweis, dass das Unternehmen TAP-Solutions gehackt worden sein k\u00f6nnte, da es merkw\u00fcrdige Mails verschickt. In SAMBA gibt es eine Schwachstelle, das … Weiterlesen TAP.de<\/a> ist wohl ein Beratungsunternehmen und IT-Dienstleister im Bereich Workplace Management, Endpoint Security, Compliance sowie Enterprise Service Management mit Kunden in Unternehmen und Beh\u00f6rden.<\/p>\n
![\"Warnung](\"https:\/\/i.postimg.cc\/cCpR2W5R\/image.png\")
<\/a><\/p>\nSicherheitsl\u00fccke CVE-2025-10230 in SAMBA<\/h2>\n
\nein \"wins hook\"-Parameter angegeben ist.<\/p>\n
\nvalidiert die an das wins hook-Programm \u00fcbergebenen Namen nicht und leitet
\nsie durch Einf\u00fcgen in eine von einer Shell ausgef\u00fchrte Zeichenfolge weiter. Dadurch sind alle Samba-Versionen seit 4.0 bei vorliegen obiger Konstellation angreifbar. Administratoren von Samba Active Directory (AD)-Dom\u00e4nencontrollern mit aktiviertem WINS-Support sollten die von den\u00a0Entwicklern bereitgestellten Patches f\u00fcr Samba 4.23.2, 4.22.5 und 4.21.9 installieren oder den ver\u00f6ffentlichten Workaround anwenden. heise gibt in diesem Beitrag<\/a> noch einige Hinweise zum Thema.<\/p>\nPayPal-Ausfall am 16. Oktober 2025<\/h2>\n
ASP.NET Core Bug gefixt<\/h2>\n
Jaguar Land Rover: Angriff durch Russland?<\/h2>\n
![\"Russland](\"https:\/\/i.postimg.cc\/QCyNSxCT\/image.png\")
<\/p>\n\u00dcberwachung durch SS7-Protokoll<\/h2>\n
![\"Massen\u00fcberwachung](\"https:\/\/i.postimg.cc\/Bbs7yxLf\/image.png\")
<\/p>\nBackdoor in Framework-Notebooks<\/h2>\n
![\"Framework-Notebooks](\"https:\/\/i.postimg.cc\/6pQFLJGz\/image.png\")
<\/p>\nIE-Modus im Edge missbraucht<\/h2>\n
Volkswagen Group France Opfer eines Cyberangriffs<\/h2>\n
![\"Volkswagen](\"https:\/\/i.postimg.cc\/Y0q5ShYf\/image.png\")
<\/a><\/p>\nOperation SIMCARTEL<\/h2>\n
Daten von Modekonzern Mango erbeutet<\/h2>\n
Sicherheitsvorfall bei cointracking.info<\/h2>\n
\nNach Abgleich mit unserer Datenbank haben wir festgestellt, dass dein Account zu den Nutzern geh\u00f6rt, die einen kompromittierten Bitcoin.de API-Key verwenden.<\/p>\n
\nKeine Trade- oder Auszahlungsrechte
\nVerwende den Key ausschlie\u00dflich f\u00fcr CoinTracking<\/p>\n
\nVergebe niemals Trade- oder Auszahlungsrechte
\nVerwende jeden API-Key nur f\u00fcr einen Dienst
\nErneuere deine Keys regelm\u00e4\u00dfig \u2013 wie Passw\u00f6rter<\/p>\nAndroid\u00a0Pixnapping-Angriff stiehlt MFA-Tokens<\/h2>\n