Heute noch ein Sammelbeitrag zu Sicherheitsmeldungen, die mir die letzten Tage untergekommen sind, aber aus Mangel an Zeit nicht in separaten Artikeln aufgegriffen wurden. Der reine Wahnsinn, was wieder an Schwachstellen, Cybervorfällen und neuen Erkenntnissen los ist. Zudem sind mit zwei Pleiten im Zusammenhang mit Cyberangriffen untergekommen.
ShinyHunters Salesforce-Hacks (Qantas, Allianz Life, LVMH)
In den letzten Wochen wurden ja einige Cyber-Vorfälle bei diversen Firmen wie Qantas, Allianz Life, LVMH bekannt. Ich hatte z.B. im Beitrag Allianz Life Hack, Mehrheit der 1,6 Mio. Kunden betroffen über einen Datenabfluss berichtet, wo bei ein Dienstleister involviert war. Die Kollegen von Bleeping Computer berichten in diesem Artikel, dass die Gruppe ShinyHunter hinter diesen Hacks stehen und diese über Systeme des Anbieters Salesforce ausführen konnten.
Die Salesforce, Inc. mit Sitz in San Francisco ist ein börsennotiertes US-amerikanisches Softwareunternehmen, das Cloud-Computing-Produkte für Unternehmen anbietet. Das Unternehmen gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Auf der Unternehmensseite heißt es "Mit Salesforce, dem weltweit führenden CRM mit KI, können Unternehmen CRM, KI, Daten und Trust auf einer einheitlichen Einstein 1 Platform zusammenführen". Und ich hatte im Juni 2025 berichtet, dass es Angriffe auf Salesforce-Instanzen per Vishing gebe (Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an).
Gehe ich in den Artikel von Bleeping Computer, finden sich genau diese toxischen Kombinationen: ShinyHunters hat wohl das SalesForce CRM gehackt und hatte so Zugriff auf die Daten und IT-Systeme. Gegenüber Bleeping Computer bestätigte ein Allianz-Sprecher "Am 16. Juli 2025 verschaffte sich ein böswilliger Angreifer Zugang zu einem cloudbasierten CRM-System eines Drittanbieters, das von der Allianz Life Insurance Company of North America (Allianz Life) genutzt wird." Konnte ja auch keiner ahnen, dass Angreifer auch noch böswillig handeln und auf dieses SalesForce zielen. Bei Quantas wird SalesForce zwar nicht genannt, aber der Name wird in Berichten gehandelt. Früher gab es den doofen Spruch "Ist Software, da kannst Du nix machen" – heute gilt "Ist SalesForce, kann man nix machen" (ok, man könnte noch ein bisschen Cloud und AI drunter mischen, dann ist es belegt, den armen Anwender trifft keine Schuld. Womit auch das geklärt wäre.
Tea-App Datenabfluss und Sicherheitslücken
Zum 27. Juli 2025 berichtete Norddeutsch im Diskussionsbereich von einem Datenverlust bei der tea-App. Die App nutzt höchst sensible Daten. Dating-Partner werden mit folgenden Technologien durchleuchtet:
- Background checks
- Catfish image search
- Sex offender search
- Phone number lookup
- Criminal record search
Die App bzw. der Anbieter versprach "sicheres" Dating für Frauen (die konnten Männer bewerten), mit Chat, Images, etc. Tea gibt an, mehr als 4 Millionen Nutzer (Frauen) zu haben.
Gut, wenn die Hormone beteiligt sind, lockt das große Geld und der Verstand ist nicht immer dabei. Ganz schlecht ist es, wenn auch noch Sicherheit versprochen wird. Es passierte das, was passieren musste. Es gab am 25. Juli 2025 einen unbefugten Zugriff auf eine ältere Datenbank, in der Daten bis 2024 gespeichert waren. Dabei wurden 72.000 Fotos, Selfies oder 12.000 IDs, 59.000 Posts, Kommentare oder Direktnachrichten abgezogen wurden (die Webseite von Tea legt den Vorfall offen).
Die Kollegen von Bleeping Computer berichten, dass ein anonymer Nutzer auf 4chan berichtete, dass Tea einen ungesicherten Firebase-Speicherbucket verwendet habe, um von Mitgliedern hochgeladene Führerscheine und Selfies zu speichern. Die Dokumente dienten zum überprüfen, ob es sich um Frauen handelt. Auf dem Speicherbucket wurden auch Fotos und Bilder, die in Kommentaren geteilt wurden, abgelegt. Auch 9to5mac berichtete über den Vorfall.
Ingram Micro Hack: SafePay droht mit Datenleck
Anfang Juli 2025 berichtete ich im Beitrag Ingram Micro hat Ransomware-Infektion erlitten, dass der Distributor von IT-Waren (Lizenzen, Hardware) Opfer einer Ransomware-Infektion wurde. Die Ransomware-Gruppe SafePay war wohl verantwortlich und droht nun mit der Veröffentlichung von 3,5 TB an Daten von Ingram Micro. Die Details haben die Kollegen von Bleeping Computer zusammen getragen.
Pleite nach Cyberangriff
Cyberangriffe können ein Unternehmen die Existenz kosten – entsprechende Fälle sind bekannt. Nun gibt es zwei weitere Opfer, die mir die Tage untergekommen sind. Golem berichtete hier, dass die Einhaus-Gruppe aus Hamm nach einem Cyberangriff im Frühjahr 2023 in finanzielle Schieflage geraten sei. Die Einhaus-Gruppe, ein in Deutschland führender Anbieter von Elektronikversicherungen hat Insolvenz angemeldet.
Auch der zweite Fall wurde von Golem in diesem Artikel aufgegriffen. Es geht um den britischen Anbieter NRS Healthcare. Denen geht das Geld aus, wobei es verschiedene Ursachen, aber unter anderem auch ein Cyberangriff in 2024, die Ursache sind.
CISA warnt vor Papercut-Schwachstelle
PaperCut ist eine Druckmanagement-Software, mit der sich Druck-, Kopier-, Scan- und Faxvorgänge nachverfolgen, kontrollieren und optional in Rechnung stellen lassen. Die US-Sicherheitsbehörde CISA warnt vor der Schwachstelle CVE-23-2533, die laut Sicherheitswarnung PaperCut NG/MF Security Bulletin (June 2023) des Herstellers bereits 2023 geschlossen wurde. Angreifer nutzen die Schwachstelle auf ungepatchten Systemen aus.
Hunter.io hat es in obigem Tweet thematisiert. Bei heise gibt es diesen Artikel mit weiteren Details.
Schwachstellen bei Überwachungskameras
Bei Dahua Kameras gibt es eine kritische Schwachstelle, die eine Übernahme ermöglichen. The Hacker News hat die Details im Beitrag Critical Dahua Camera Flaws Enable Remote Hijack via ONVIF and File Upload Exploits aufgegriffen.
Und heise berichtet über Schwachstellen bei der aus dem Support gefallenen LG Netzwerkkamera LNV5110R, die Admin-Zugriffe ermöglichen. Vorigen Monat gab es bereits eine Warnung, dass 40.000 Sicherheitskameras ungeschützt im Netz erreichbar sind.
Internet- und Mobilfunkausfall in Luxemburg
In Luxemburg kam es am 23. Juli 2025 zu einem gravierenden Vorfall bei der Post. Internet, Notrufe und Mobilfunk fielen in weiten Teilen des Landes aus. Auch der Flughafen war betroffen. Ursache war ein Cyberangriff auf die Post Luxemburg über eine ausgenutzte Schwachstelle in einer IT-Komponente. Wort.lu berichtet hier darüber – auf administrator.de gibt es hier eine Kurzzusammenfassung.
Angriffe gegen alte SonicWall-Versionen
Google-Forscher berichteten über eine Malware-Kampagne gegen ausgediente SonicWall-Geräte und stellten fest, dass die Angreifer ihre Spuren gut verwischt hatten. Details finden sich in diesem Artikel.
BlackSuite-Erpresserseite beschlagnahmt
Strafverfolger habe die Webseite der BlackSuite-Cyber-Gang beschlagnahmt. heise hat in diesem Artikel Details zusammen gefasst.
Hacker erpresst französische Naval Group
Die französische Naval Group ist Hersteller von Kriegsschiffen. Wie Golem berichtet sind in einem Hackerforum militärische Dokument aufgetaucht und der Hacker versucht die Naval Group zu erpressen.
TikTok als Sicherheitsrisiko
Die USA wollen die chinesische Regierung bzw. Bytedance zwingen, TikTok an ein US-Unternehmen zu verkaufen. Es werden Sicherheitsgründe geltend gemacht. Nun wacht auch Europa langsam auf, und es gibt Stimmen, dass TikTok auch in Europa zur Gefahr werde (siehe hier).
Hartkodierte Zugangsdaten bei MyASUS
Es gibt mal wieder eine Sicherheitslücke bei Systemen, die MyASUS für Updates verwenden. Fest in der Software enthaltene Zugangsdaten für MyASUS gefährden die Systeme. Heise hat es im Artikel Sicherheitsproblem: Hartkodierte Zugangsdaten gefährden PCs mit MyASUS aufbereitet.
Lumma Stealer zurück
Sicherheitsforscher von Trend Micro berichten in einer neuen Research, dass die Schadsoftware Lumma Stealer in einer neuen, verbesserten Version zurück ist. Lumma galt lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten. Im Mai 2025 meldeten Microsoft und internationale Strafverfolgungsbehörden einen Schlag gegen die dahinterstehende Infrastruktur. Viele hielten das Projekt daraufhin für zerschlagen.
Die neue verbesserte Version ist schwerer zu erkennen, nutzt gezielte Tarnmethoden und versteckt ihre Kommunikation hinter scheinbar harmlosen Webseiten. Der Stealer stiehlt Zugangsdaten, Kryptowährungen und andere sensible Informationen und zeigt, wie professionell und flexibel Cyberangriffe heute organisiert sind. Weitere Details aus dem aktuellen Blog-Artikel von Trend Micro:
- Die Malware tarnt sich mithilfe gängiger Software-Komponenten, um weniger verdächtig zu wirken.
- Sie nutzt vermeintlich legitime Domains als Tarnung für ihre Kommandoserver.
- Ziel sind Browserdaten, Krypto-Wallets und Anmeldedaten für Online-Konten.
- Die Täter setzen auf häufige Updates und modulare Bauweise, um sich Sicherheitsanalysen zu entziehen.
- Die Verbreitung erfolgt unter anderem über kompromittierte Webseiten und falsche Software-Downloads.
- Die Infrastruktur hinter dem Stealer nutzt Schutzmechanismen wie Cloudflare, um Spuren zu verwischen.
"Auffällig ist, dass sich die Betreiber zunehmend aus öffentlichen Untergrundforen zurückziehen und stattdessen auf verdeckte Kommunikationswege und ausgeklügelte Tarnmethoden setzen. Der Fall Lumma Stealer zeigt, wie anpassungsfähig und hartnäckig moderne Cyberkriminelle sind: Trotz einer groß angelegten Strafverfolgungsaktion konnten sie ihre Infrastruktur schnell erneuern und ihre Angriffstaktiken weiterentwickeln." sagt Junestherry Dela Cruz, Threats Analyst bei Trend Micro
Ähnliche Artikel:
Allianz Life Hack, Mehrheit der 1,6 Mio. Kunden betroffen
Allianz droht Milliarden-Risiko wegen "mangelhafter" IT durch BAFIN-Auflagen
Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an
Datenleck bei Louis Vuitton Malletier (2. Juli 2025)
MVP: 2013 – 2016
Und Minnesota aktiviert die National Garde, um gegen die bösen Hacker zu kämpfen, die in der Hauptstadt Saint Paul eingefallen sind…
https://www.bleepingcomputer.com/news/security/minnesota-activates-national-guard-after-st-paul-cyberattack/