PyPI schließt Sicherheitslücke bei „Organizations Team“-Rechten

Am 14. April 2025 wurde das PyPI-Sicherheitsteam auf ein Problem bei der Vergabe von Team-Rechten aufmerksam gemacht: Ehemalige Mitglieder einer Organisation behielten ihre Team-Privilegien, obwohl sie bereits aus der übergeordneten Organisation entfernt worden waren. Nach Prüfung bestätigte PyPI den Fehler, erfasste die betroffenen Fälle und spielte innerhalb von knapp zwei Stunden einen Hotfix aus. Eine anschließende Sicherheitsprüfung ergab, dass kein unautorisierter Zugriff stattgefunden hatte.

Related Posts

Deutscher Cloud Provider: Massive Datenpanne betrifft gesamte Bevölkerung Georgiens

Am 4. Oktober 2024 wurde eine schwerwiegende Datenpanne in der Republik Georgien entdeckt. Eine ungeschützte Elasticsearch-Datenbank, gehostet von einem deutschen Cloud-Service-Anbieter, enthielt Millionen sensibler Datensätze georgischer Bürger. Die Datenbank wurde wenige Tage später, am 7. Oktober 2024, offline genommen, aber die potenziellen Risiken bleiben bestehen. Die Daten scheinen aus mehreren Quellen, möglicherweise staatlichen oder kommerziellen Datenbanken, zusammengeführt worden zu sein. Teile der Daten stammen offenbar aus einem bereits 2020 bekannten Leck, wurden aber mit neuen Datensätzen kombiniert. Das Datenvolumen umfasst mit mehr als 7 Mio Datensätze, wobei Georgien nur eine Bevölkerung von ca. 4 Mio Menschen aufweist. Es sind somit auch Dubletten und möglicherweise verstorbene Personen in den Datensätzen enthalten. Laut einem Bericht von Cybernews.com ist das Leck auf eine offen zugängliche ElasticSearch Instanz zurückzuführen.

Read More

Datenleck bei Hotelmanagement Plattform Otelier: Millionen persönliche Daten von Hotelgästen gestohlen

Cyberkriminelle haben bei einem Angriff auf die amerikanische Hotelmanagement-Plattform Otelier (ehemals Mydigitaloffice) persönliche Daten von Millionen Hotelgästen entwendet. Die Angreifer nutzten gestohlene Anmeldedaten eines Mitarbeiters, um in den Amazon-S3-Cloudspeicher von Otelier einzudringen. Zwischen Juli und September 2024 konnten sie nahezu acht Terabyte an sensiblen Kundendaten stehlen.

Read More

Mögliches Datenleck bei Oracle

Ein mutmaßlicher Hackerangriff auf Oracle sorgt für Aufsehen: Auf dem Forum BreachForums behauptet der Nutzer „Rose87168“, er habe rund sechs Millionen Nutzerdaten aus Oracles LDAP- und SSO-Systemen gestohlen. Oracle dementiert einen Angriff weiterhin entschieden: Es habe keine Sicherheitsverletzung in der Oracle Cloud gegeben, betroffene Daten seien nicht Teil der OCI-Infrastruktur.

Read More