Wissen

Hackerangriff auf D-Trust vor Start der elektronischen Patientenakte

Laut einem Bericht der Pharmazeutischen Zeitung wurde der Vertrauensdienstleister D-Trust zwei Tage vor dem Start der Testphase (15.1.2025) der elektronischen Patientenakte (EPA) zum Ziel eines Hackerangriffs. D-Trust, ein Tochterunternehmen der Bundesdruckerei, bestätigte, dass das Antragsportal für Signatur- und Siegelkarten betroffen war. Dabei könnten personenbezogene Daten entwendet worden sein, wobei ausgegebene Karten und sicherheitsrelevante Daten wie PINs und Passwörter nicht kompromittiert wurden. Die Telematikinfrastruktur (TI) sei laut der Gematik nicht gefährdet.

Read More

Kritische Sicherheitslücke im TYPO3 Scheduler-Modul: Cross-Site Request Forgery (CSRF)

Eine schwerwiegende Schwachstelle wurde im Scheduler-Modul von TYPO3 entdeckt, die in den Versionen 11.0.0 bis 11.5.41 vorliegt. Die Sicherheitslücke erlaubt Cross-Site Request Forgery (CSRF)-Angriffe auf die Backend-Benutzeroberfläche. Dabei können Angreifer über manipulierte URLs schädliche Aktionen ausführen, sofern ein Backend-Benutzer aktiv eingeloggt ist und auf den Link klickt, beispielsweise per E-Mail oder über eine manipulierte Website.

Read More

Kritische Schwachstellen in HPE Aruba Networking AOS-Software

Am 14. Januar 2025 veröffentlichte Hewlett Packard Enterprise (HPE) eine Sicherheitswarnung zu mehreren schwerwiegenden Schwachstellen in den Betriebssystemen AOS-8 und AOS-10, die in Aruba Mobility Conductors, Controllern und Gateways eingesetzt werden. Die Schwachstellen ermöglichen Authentifizierten die Ausführung beliebigen Codes und die Manipulation von Systemdateien über die Web- und CLI-Managementschnittstellen.

Read More

Datenleck beim Standortdaten Händler Gravy Analytics

Der US-Databroker Gravy Analytics wurde Anfang Januar 2025 Ziel eines Hackerangriffs wie Netzpolitik.org berichtete. Dabei sollen große Mengen sensibler Standortdaten von Mobilgeräten gestohlen worden sein. Die Daten, die unter anderem Bewegungsprofile und Gerätekennungen umfassen, sollen aus beliebten Handy-Apps stammen. Hacker drohen nun mit der Veröffentlichung des vollständigen Datensatzes.

Read More

Kritische Sicherheitslücken in Rsync aufgetaucht

Am 14. Januar 2025 wurde bekannt, dass die Software Rsync, mit der Dateien zwischen Computern oder Speichern synchronisiert werden, sechs gravierende Sicherheitslücken hat. Alle Versionen bis einschließlich 3.3.0 sind betroffen. Rsync wird oft verwendet, um Daten effizient zu kopieren und zu sichern. Diese Fehler können dazu führen, dass Angreifer Programme manipulieren, geheime Daten auslesen oder Dateien an unerlaubte Orte schreiben. Zu den betroffenen Betriebssystemen gehören unter anderem AlmaLinux, Arch Linux, Gentoo Linux, NixOS, Red Hat und SUSE Linux.

Read More

Allianz Risk Barometer 2025: Cyber-Attacken bleiben weltweit das größte Risiko

Laut dem Allianz Risk Barometer 2025 sind Cybervorfälle erneut das größte Geschäftsrisiko. Datenschutzverletzungen, Ransomware und IT-Ausfälle betreffen 38 % der Unternehmen. Auch in Deutschland bleiben Cyberangriffe die größte Bedrohung für Unternehmen.

Read More

PayPal-Betrug über M365 Testdomains

Sicherheitsforscher von Fortinet haben eine neue Betrugsmasche entdeckt, die PayPal-Nutzer täuscht und ohne typische Phishing-Methoden auskommt. Die Betrüger nutzen die offizielle PayPal-Plattform, um ihre Opfer hereinzulegen. Dabei erstellen sie eine kostenlose Microsoft 365-Testdomain und richten dort eine Verteilerliste mit vielen E-Mail-Adressen ein. Danach senden sie über PayPal eine Zahlungsaufforderung an diese Liste. Da die Nachricht direkt von PayPal kommt, wirkt sie echt. Viele Opfer klicken auf den Link in der E-Mail, um die Zahlung zu prüfen.

Read More

NPM Malware Libraries stehlen Solana-Wallets über Gmail

Sicherheitsforscher von socket.dev haben schädliche Programme entdeckt, die Solana-Wallets angreifen. Diese Programme sammeln geheime Schlüssel und senden sie per Gmail an Hacker, die dann das Geld aus den Wallets stehlen.

Read More

EuGH-Urteil: EU-Kommission verstößt gegen Datenschutzregeln

Das Gericht der Europäischen Union (EuGH) hat entschieden, dass die EU-Kommission gegen die Datenschutzregeln verstoßen hat. Es geht um den Fall eines deutschen Bürgers, dessen persönliche Daten ohne ausreichende Sicherheitsmaßnahmen an das Internetunternehmen Meta (Facebook) übermittelt wurden.

Read More

Kritische Schwachstellen in Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)

Am 10. Januar 2025 veröffentlichte Ivanti Sicherheitsupdates für mehrere Produkte veröffentlicht, die eine kritische und eine hochgefährliche Schwachstelle beheben. Die betroffenen Systeme umfassen Ivanti Connect Secure, Policy Secure und die ZTA Gateways.

Read More