Die Cyberkriminellen von ShinyHunters haben nach einer Serie erfolgreicher Angriffe massive Datenlecks bei US-Konzernen und Bildungseinrichtungen verursacht. Betroffen sind unter anderem der Kabelnetzbetreiber Charter Communications, die Kreuzfahrtgesellschaft Carnival Cruise Line sowie das indische IIT Roorkee. Die gestohlenen Informationen wurden am 2. Juni 2026 veröffentlicht und betreffen insgesamt mehrere Millionen Menschen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Charter Communications: 13 Millionen Kunden betroffen
Der Angriff auf Charter Communications, bekannt unter der Marke Spectrum, begann am 1. April 2026. Ein Angreifer nutzte Voice-Phishing („Vishing“), um sich Zugang zu einem Mitarbeiterkonto zu verschaffen. Nachdem das Unternehmen offenbar keine Lösegeldzahlung leistete, veröffentlichte ShinyHunters die Daten nach Ablauf einer Frist am 27. Mai.
Die Sicherheitsverletzung betrifft mindestens 13 Millionen Menschen, darunter rund 85.000 Mitarbeiter. Die Datenplattform Have I Been Pwned bestätigte 4,9 Millionen eindeutige E-Mail-Adressen im Datensatz. Die kompromittierten Informationen umfassen Namen, Adressen, Telefonnummern, Berufsbezeichnungen sowie zehn Millionen Kundensupport-Tickets.
Charter Communications bestreitet, dass sogenannte Customer Proprietary Network Information (CPNI) gestohlen wurde – also vertrauliche Daten zur Nutzung des Telekommunikationsnetzes. Einige Quellen sprechen von bis zu 42 Millionen betroffenen Datensätzen. Das Unternehmen sieht sich bereits rechtlichen Schritten gegenüber.
Carnival Cruise Line: Sechs Millionen Passagiere betroffen
Auch Carnival Cruise Line bestätigte einen massiven Datendiebstahl. Am 14. April 2026 verschafften sich Angreifer durch Social Engineering Zugang zu einem Mitarbeiterkonto. Ende Mai gab das Unternehmen bekannt, dass 5.995.277 Personen betroffen sind.
Die gestohlenen Daten enthalten Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten sowie Ausweisnummern – darunter Führerschein- und Passdaten. Nachdem Erpressungsversuche scheiterten, übernahm ShinyHunters die Verantwortung für die Veröffentlichung. Carnival bietet betroffenen Kunden nun zwei Jahre kostenlosen Kreditkartenschutz über TransUnion an.
IIT Roorkee: Cloud-Fehler legt Prüfungsdaten offen
Am 2. Juni 2026 bestätigte das renommierte Indian Institute of Technology Roorkee ein Datenleck. Eine falsch konfigurierte AWS-Cloud-Speicherlösung auf einer Subdomain erlaubte öffentlichen Zugriff ohne Authentifizierung. Ein Cybersicherheitsforscher entdeckte die Schwachstelle.
Betroffen waren rund 179.600 Ergebnisdatensätze und 187.300 Zulassungskarten-PDFs der JEE Advanced 2026-Prüfung. Die Dateien enthielten Namen, Geburtsdaten und Handynummern der Kandidaten. Die Administratoren haben die Berechtigungen inzwischen aktualisiert. Da die Dateien nur lesbar waren, konnten die Daten nicht manipuliert werden.
Sicherheitslücken in Microsoft-Apps und Diensten
Neben den gezielten Angriffen rückten auch Sicherheitslücken in weit verbreiteten Anwendungen in den Fokus:
Microsoft Android-Apps: Im Mai 2026 schloss Microsoft kritische Schwachstellen in sechs seiner 365-Android-Anwendungen – darunter Word, PowerPoint, Excel, Copilot, Loop und OneNote. Die als CVE-2026-41100, CVE-2026-41101 und CVE-2026-41102 gelisteten Lücken entstanden durch ein versehentlich aktives Debug-Flag in den Produktionsversionen. Dies ermöglichte potenziell unbefugten Apps den Zugriff auf sensible Tokens.
Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Smartphone mit den richtigen Updates dauerhaft vor Datenverlust schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen
Dashlane: Der Passwort-Manager-Dienst meldete am 31. Mai 2026 einen Brute-Force-Angriff. Angreifer versuchten, die Zwei-Faktor-Authentifizierung zu umgehen und neue Geräte zu registrieren. Betroffen waren weniger als 20 persönliche Konten. Obwohl einige verschlüsselte Tresore heruntergeladen wurden, betont Dashlane, dass diese ohne Master-Passwort nicht zugänglich sind.
Anonymer Video-Chat-Dienst: Ein Leak bei einer nicht namentlich genannten anonymen Video-Chat-App wurde am 2. Juni 2026 gemeldet. Der Vorfall legte über 22 Millionen Datensätze offen, darunter drei Millionen Fälle, in denen Namen und E-Mail-Adressen identifizierbar waren.
