Sicherheits-News – Teil 2: Schwachstellen, Datenvorfälle und weitere Hacks (bis 17. Okt. 2025)

Zum Ende der Woche noch eine weitere Zusammenfassung einiger Sicherheitsmeldungen, die mir so untergekommen sind. So gibt es einen Hinweis, dass das Unternehmen TAP-Solutions gehackt worden sein könnte, da es merkwürdige Mails verschickt. In SAMBA gibt es eine Schwachstelle, das SS7-Protokoll dient zur Massenüberwachung und mehr.

TAP-Solutions gehackt?

TAP.de ist wohl ein Beratungsunternehmen und IT-Dienstleister im Bereich Workplace Management, Endpoint Security, Compliance sowie Enterprise Service Management mit Kunden in Unternehmen und Behörden.

Blog-Leser Martin hat mich die Woche kontaktiert und vermutete, dass die tap.de einen Sicherheitsvorfall erlitten habe (gefunden habe ich bei einer Suche nichts). Der Leser schrieb, "dass das Unternehmen komische Rechnungen mit einem Onedrive-Link, scheinbar an alle Stellen, die jemals mit dem Unternehmen in Kontakt standen, verschicken würde". Ans Telefon gehe dort leider keiner.

Ihm liegt nur die obige Meldung mit einer Warnung des Unternehmens vor, die besagt, dass "von der Adresse AKUBICIEL@TAP.DE" Mails verschickt wurden, die "fälschlich den Anschein erwecken", vom Unternehmen zu stammen. Es wird gewarnt, diese Mails zu öffnen oder Links anzuklicken. Systeme der Protected Link to TAP.DE Solutions GmbH seien nicht betroffen, heißt es.

Der Leser schrieb, dass das Unternehmen keine spezifische Warnung verschickt habe und sieht das Ganze als DSGVO-Fall. Hier bin ich mir nicht so sicher, ob ich da zustimmen kann. Wenn das Unternehmen nicht gehackt wurde – was in obiger Meldung bestritten wird, könnte die Domain auch missbraucht worden sein. Ich hatte so einen Fall im Beitrag Kurzinfo: Spam, angeblich von borncity.com – Missbrauch von IP 95.211.93.115 schon mal aufgegriffen. Unter borncity.com wird definitiv kein Mail-Server betrieben, und trotzdem wurde angeblich SPAM von der Domain verschickt.

Andererseits schrieb mir der Leser, dass er die Aussage des Unternehmens als schwierig empfinde, denn die Einträge für DMARC, DKIM u. SPF etc. seien in den Phishing-Mails alle korrekt gewesen. Der Leser interpretiert dies so, dass bei denen möglicherweise ein Postfach auf Exchange Online kompromittiert wurde und dieses Exchange Online dann nicht zu "unseren IT-Systemen" gehört. Weiß jemand aus der Leserschaft an dieser Stelle mehr? Verschickte E-Mails liegen mir leider keine vor.

Ergänzung: Ein Leser schrieb mir dazu, dass er berichten kann, dass Mail-Spoofing auch über Exchange (E5 Lizenz) ein tägliches Problem ist – trotz DMARC & Co. Das Ganze geht  laut Leser sogar soweit, dass Mitarbeiter von sich selbst Kalendereinladungen erhalten, die Phishing-Links direkt oder in Anhängen enthalten. Und das Ganze passiere auch bei guter Administration, voll ausgebautem Sentinel mit 24/7 SOC usw. Microsoft hat da , in den Augen des Lesers, eindeutig Hausaufgaben zu machen und mutmaßlich jede Menge offene Tickets.

Sicherheitslücke CVE-2025-10230 in SAMBA

Es gibt ein Samba-Advisory zur Schwachstelle CVE-2025-10230, die eine Remote-Ausführung von Befehlen ermöglicht, wenn auf einem Samba-Server die WINS-Unterstützung aktiviert ist (standardmäßig ist sie deaktiviert) und
ein "wins hook"-Parameter angegeben ist.

Der vom Samba Active Directory Domain Controller verwendete WINS-Server
validiert die an das wins hook-Programm übergebenen Namen nicht und leitet
sie durch Einfügen in eine von einer Shell ausgeführte Zeichenfolge weiter. Dadurch sind alle Samba-Versionen seit 4.0 bei vorliegen obiger Konstellation angreifbar. Administratoren von Samba Active Directory (AD)-Domänencontrollern mit aktiviertem WINS-Support sollten die von den Entwicklern bereitgestellten Patches für Samba 4.23.2, 4.22.5 und 4.21.9 installieren oder den veröffentlichten Workaround anwenden. heise gibt in diesem Beitrag noch einige Hinweise zum Thema.

PayPal-Ausfall am 16. Oktober 2025

Ein Leser hatte mich in einer privaten Nachricht auf Facebook kontaktiert, und schrieb, dass er "aktuell Probleme beim Anmelden bei PayPal festgestellt habe". Am 16. Oktober 2025 gab es einen weltweiten Ausfall beim Zahlungsdienstleister PayPal. Der Leser hatte mich auf einen reddit.com-Thread, wo es Meldungen zu Login-Problemen gab. Inzwischen gibt es den Artikel PayPal und Venmo Ausfall: Was Developer und Entscheider aus dem Downtime-Desaster vom 16. Oktober 2025 lernen müssen von Never Code Alone. Gegen 11:00 Uhr ging am 16. Oktober 2025 bei Paypal und Venmo für ca 1 Stunde nichts mehr. Es waren keine Zahlungen möglich.

ASP.NET Core Bug gefixt

Mit den Sicherheitsupdates vom 14. Oktober 2025 wurde auch ein Bug in ASP.NET Core gefixt, der mit einem CVSS 3.1-Score von 9,9 eingestuft war – der höchste jemals vergebene Score für einen Bug in diesem Bereich. The Register hat hier einige Erläuterungen dazu veröffentlicht.

Jaguar Land Rover: Angriff durch Russland?

Im September 2025 hatte ich im Beitrag Datenabfluss bei Stellantis; Cyberangriff auf Jaguar Land Rover; KFZ-Cyber-Sicherheit über einen Cyberangriff bei Jaguar Land Rover berichtet, der die Produktion über Wochen lahm legte.

Das Medium The Telegraph berichtet (leider Paywall), dass der Cyberangriff auf den Autohersteller Jaguar Land Rover mit einer drittstaatlichen Beteiligung zusammenhängen könnte. Wird auch daraus geschlossen, weil das Unternehmen nach Kompromittierung nicht erpresst wurde.

Überwachung durch SS7-Protokoll

In nachfolgendem Post macht Hypervisible auf den Artikel The Surveillance Empire That Tracked World Leaders, a Vatican Enemy, and Maybe You aufmerksam. Es geht um Massenüberwachung mittels des SS7 Protokolls im Mobilfunk durch Unternehmen wie NSO.

heise hatte das Thema die Woche in diesem Artikel auf deutsch aufgegriffen. Ein zweiter Beitrag Surveillance Secrets befasst sich ebenfalls mit der Thematik.

Backdoor in Framework-Notebooks

In den Notebooks von Framework gibt es eine Schwachstelle in der UEFI-Shell, die eine Umgehung des Secure Boot ermöglicht. Darauf weist nachfolgender Tweet hin, der auf den Artikel BombShell: The Signed Backdoor Hiding in Plain Sight on Framework Devices von Eclypsium verlinkt.

Die Sicherheitsforscher schreiben, dass UEFI-Shells quasi signierte Hintertüren seien, und auf 200.000 Laptops und Desktops von Framework existieren. Es gibt BIOS-Updates, um die Schwachstelle zu fixen.

IE-Modus im Edge missbraucht

Dann gab es noch die Meldung, dass Angreifer den Internet Explorer-Modus in Microsoft Edge missbrauchten, um sich unbefugten Zugriff auf Benutzergeräte zu verschaffen. Die Angreifer verwenden Social Engineering, um Opfer dazu zu verleiten, Seiten im IE-Modus neu zu laden. Dann nutzten sie eine Zero-Day-Sicherheitslücke in der Chakra-JavaScript-Engine für die Remote-Codeausführung und die Ausweitung von Berechtigungen aus.

Dabei konnten sich die Chromium-Sicherheitsfunktionen umgehen. Microsoft hat seitdem die Einschränkungen für den IE-Modus verschärft und verlangt nun eine manuelle Konfiguration für bestimmte Websites. Details finden sich im Artikel Microsoft Locks Down IE Mode After Hackers Turned Legacy Feature Into Backdoorauf The Hacker News.

Volkswagen Group France Opfer eines Cyberangriffs

Und dann ist mir noch nachfolgender Tweet untergekommen, dass die Volkswagen Group France, einen Cyberangriff erlitten hat, bei dem 150 GByte Daten abgezogen wurden.

Die Ransomware-Gruppe Qilin behauptet, in die Systeme der Volkswagen Group France, einer Tochtergesellschaft der Volkswagen AG, eingedrungen zu sein. Hier und hier gibt es noch einige Informationen.

Operation SIMCARTEL

Und dann gab es laut diesem Tweet noch die Operation SIMCARTEL, bei der mehrere Cyberkriminelle festgenommen wurden. Europol und die lettischen Strafverfolgungsbehörden haben fünf Server beschlagnahmt, sowie 1.200 SIM-Box-Geräte und 40.000 aktive SIM-Karten sichergestellt.

Die Kriminellen standen in Verbindung mit über 1.700 Fällen von Cyberbetrug in Österreich und 1.500 Fällen in Lettland, wodurch Schäden in Höhe von mehreren Millionen Euro entstanden sind, darunter 4,5 Millionen Euro in Österreich und 420.000 Euro in Lettland.

Daten von Modekonzern Mango erbeutet

Beim Modekonzern Mango gab es einen Cybervorfall, bei dem Kundendaten erbeutet wurden. heise hat die Details in diesem Beitrag aufbereitet.

Sicherheitsvorfall bei cointracking.info

Ein Blog-Leser hatte mich zum 16. Oktober 2025 informiert, dass er einen Abfluss von Daten beim externen Dienstleister cointracking.info vermutet. Der Leser besitzt dort ein Konto für die steuerliche Behandlung der Umsätze. Er wurde von der futurum bank AG informiert, dass sein API Key gesperrt wurde. Der Leser erhielt folgende Information von der Bank:

Sehr geehrter Herr xxx,

wir möchten Sie heute vorsorglich über einen Sicherheitsvorfall bei einem externen Dienstleister informieren, der im Bereich Tax Reporting tätig ist.

Im Rahmen dieses Vorfalls kam es zu einem Datenabfluss auf Seiten des betroffenen Anbieters. Dieser Anbieter verwendet API-Keys, die lesenden Zugriff auf Ihr Wallet ermöglichen.

Sie erhalten diese Nachricht, da mindestens einer Ihrer API-Keys betroffen ist. Der entsprechende Key wurde von uns bereits deaktiviert.

Wichtig: Es fand kein Transfer Ihrer Assets statt. Die Plattform Bitcoin.de ist nicht kompromittiert worden, sodass ein solcher Abfluss auch gar nicht möglich gewesen wäre.

Wir empfehlen Ihnen, den betroffenen API-Key vollständig zu löschen. Grundsätzlich raten wir immer dazu, externen Anbietern ausschließlich API-Keys mit Leserechten zur Verfügung zu stellen.

Zu dieser Zeit hatte der Leser von cointracking noch nichts gehört. Ergänzung: Zum 18. Oktober 2025 informierte mich der Leser, dass er von cointracking folgende Information bekommen habe:

Hallo ****,

du erhältst diese E-Mail, weil du einen Bitcoin.de API-Key in deinem CoinTracking-Account hinterlegt hast.

Was ist passiert?

Bitcoin.de hat mehrere Nutzer über Versuche unautorisierter Auszahlungen bei bestimmten API-Keys informiert. Es wurde in keinem Fall tatsächlich Geld abgezogen, und es gibt keine Hinweise auf einen Sicherheitsvorfall bei CoinTracking selbst.
Nach Abgleich mit unserer Datenbank haben wir festgestellt, dass dein Account zu den Nutzern gehört, die einen kompromittierten Bitcoin.de API-Key verwenden.

Was solltest du jetzt tun?

Aus Sicherheitsgründen empfehlen wir dir dringend:

1. Lösche deinen aktuellen Bitcoin.de API-Key auf Bitcoin.de und CoinTracking

2. Erstelle einen neuen API-Key auf Bitcoin.de mit folgenden Einstellungen:

Nur Leseberechtigung (read-only)
Keine Trade- oder Auszahlungsrechte
Verwende den Key ausschließlich für CoinTracking

3. Trage den neuen Key in deinem CoinTracking-Account ein

Wichtige Sicherheitshinweise für API-Keys:

CoinTracking benötigt nur Leseberechtigung (read-only)
Vergebe niemals Trade- oder Auszahlungsrechte
Verwende jeden API-Key nur für einen Dienst
Erneuere deine Keys regelmäßig – wie Passwörter

Deine Daten sind sicher

Es wurden keine unautorisierten Zugriffe auf CoinTracking festgestellt. Alle API-Secrets werden bei uns verschlüsselt gespeichert und sind für Mitarbeiter nicht einsehbar.

Wir untersuchen den Vorfall weiterhin und stehen in engem Austausch mit Bitcoin.de.

Und falls mal Daten abhanden gekommen sein sollten, einfach bei der NSA nachfragen, ob diese nicht doch in irgend einem Backup finden.

Android Pixnapping-Angriff stiehlt MFA-Tokens

Sicherheitsforscher haben eine Pixnapping-Angriffsmethode unter Android demonstriert, mit dem sich MFA-Codes Pixel für Pixel stehlen lassen sollen. Bleeping Computer hat das Ganze in diesem Artikel aufbereitet.