Trump Mobile hat bestätigt, dass Kundendaten – darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und weitere Informationen – im Internet offen zugänglich waren. Den Berichten zufolge erklärte das Unternehmen, ein Plattformanbieter aus dem Drittbereich sei für die Offenlegung verantwortlich.

Aus Dokumenten, die im Rahmen einer von Bloomberg News gegen die US-Regierung angestrengten Klage nach dem Informationsfreiheitsgesetz vorgelegt wurden, geht hervor, dass die russische staatlich gestützte APT-Gruppe hinter dem SolarWinds-Lieferkettenangriff von 2019/2020 tiefen Zugriff auf E-Mails des US-Finanzministeriums hatte. Die Angreifer konzentrierten sich demnach auf nur acht E-Mail-Konten, die mit 300 weiteren Adressen verknüpft waren; das Ministerium hatte damals rund 94.000 Beschäftigte.

Der Sicherheitsforscher Suman Kumar Chakraborty warnt vor einer Schwachstelle zur Remotecodeausführung in der Remote-SSH-Erweiterung von Visual Studio Code. Beim Aufbau einer Remote-SSH-Verbindung schreibt die Erweiterung ein Bootstrap-Shellskript in das Temp-Verzeichnis. Ein Angreifer mit Systemzugriff kann dieses Skript manipulieren, bevor es auf dem entfernten Server ausgeführt wird, und so eine Reverse Shell einrichten.

Laut TechCrunch legte das nicht mit der britischen Regierung verbundene UK Visa Portal über 100.000 Dokumente von Visumantragstellern offen. Die Website verlangt das Hochladen von Selfies und Reisepässen sowie eine Gebühr; die Dateien lagen in einem AWS-S3-Bucket und wurden in dieser Woche gesichert.

In einer Phishing-Kampagne geben sich Angreifer als LinkedIn aus und tarnen ihre Mails als Geschäftsanfrage. Die vermeintlichen PDF-Vertragsanhänge sind in Wahrheit HTML-Dateien, die Opfer auf die A/B-Testing-Plattform Adobe Target leiten. Diese missbrauchen die Täter, um Nutzer zu verfolgen, ihnen gefälschte Anmeldeseiten zu zeigen und Zugangsdaten abzugreifen, bevor sie zu LinkedIn weitergeleitet werden.

Pünktlich zum Start der Fußball-WM 2026 hat Group-IB mehr als 4.300 betrügerische FIFA-Domains entdeckt. Dazu zählt eine Kampagne der chinesischsprachigen Gruppe Ghost Stadium, die über 300 Domains eingerichtet hat, darunter einen pixelgenauen Klon der echten FIFA-Website.

Veeam schloss zwei Schwachstellen hoher Schwere in Backup & Replication, die zu Rechteausweitung und beliebigen Dateischreibvorgängen führen könnten. Notepad++ behob drei Probleme, zwei davon ermöglichten beliebige Codeausführung. Die jüngsten Roundcube-Updates beseitigen acht Fehler, darunter eine nicht authentifizierte SQL-Injection.

CISA erweiterte ihren KEV-Katalog um drei Schwachstellen aus jüngsten Lieferkettenangriffen, die Daemon Tools Lite, TanStack und Nx Console betreffen – Letztere führte zum Diebstahl von 3.800 internen GitHub-Repositorys. Die Behörde gab zudem eine Warnung zu den Angriffen über Megalodon und Nx Console heraus; NPM widerrief in Reaktion granulare Zugriffstoken. Parallel warnt Sonatype vor einem Angriff mit 176 schädlichen NPM-Paketen, deren Postinstall-Skripte Schadsoftware zum Stehlen von Zugangsdaten, CI/CD-Geheimnissen und weiteren Tokens installieren; alle tragen die Versionsnummer 99.99.99.

Maxwell Schultz (36) aus Columbus, Ohio, wurde zu 24 Monaten Haft verurteilt. Nach der Kündigung seines Vertrags im Mai 2021 verschaffte er sich unter falscher Identität Zugangsdaten und setzte rund 2.500 Passwörter zurück, was Beschäftigte aussperrte und Schäden von über 862.000 Dollar verursachte. Er bekannte sich im November 2025 schuldig.