Jeremiah Fowler stieß auf drei offen zugängliche, unverschlüsselte Datenbanken mit fast 3,7 Millionen Kundendienst-Datensätzen, die Sears Home Services zugeordnet sind. Darin lagen über 54.000 vollständige Chat-Protokolle des KI-Chatbots Samantha, knapp 1,4 Millionen Audioaufnahmen von Kundenanrufen sowie mehr als 200.000 Tabellenprotokolle samt Namen, Adressen, Telefonnummern und Termindaten. Fowler informierte die Sears-Muttergesellschaft Transformco; die Datenbanken wurden kurz darauf gesichert.
Eclypsium-Forscher deckten neun Schwachstellen bei vier Anbietern günstiger IP-KVM-Geräte auf: GL-iNet, Angeet/Yeeso, Sipeed und JetKVM. Die schwerste Lücke im Angeet/Yeeso ES3 erlaubt es Angreifern, ohne Zugangsdaten beliebige Dateien zu schreiben und Betriebssystembefehle auszuführen. Da KVM-Geräte Tastatur, Bild und Maus auf BIOS-Ebene steuern, ließen sich Tastatureingaben einschleusen, von Wechselmedien booten, Secure Boot deaktivieren und Sicherheitswerkzeuge des Betriebssystems umgehen. JetKVM und Sipeed haben Patches veröffentlicht, GL-iNet plant für zwei Lücken keine Korrektur, Angeet/Yeeso hat sich noch nicht auf einen Zeitplan festgelegt.
Oasis Security fand drei Schwachstellen in Claude, die in einem als Claudy Day bezeichneten Angriff verkettet werden. Versteckte Anweisungen werden in eine präparierte claude.ai-URL eingebettet, über eine offene Weiterleitung auf claude.com legitim erscheinen gelassen und als Google-Anzeige ausgespielt – ein Klick auf das vermeintliche Suchergebnis genügt, um eine Chat-Sitzung zu kapern und Daten abzugreifen. Anthropic hat die Prompt-Injection-Lücke nach verantwortungsvoller Offenlegung geschlossen, Korrekturen für die übrigen zwei stehen aus.
Group-IB legte eine Analyse der rund 20-köpfigen Ransomware-as-a-Service-Gruppe The Gentlemen vor, die bekannt wurde, nachdem einer ihrer Akteure die Qilin-Gruppe öffentlich beschuldigt hatte, 48.000 Dollar an Affiliate-Provisionen einzubehalten. Den Zugang verschafft sich die Gruppe vor allem über CVE-2024-55591, eine kritische Authentifizierungs-Umgehung in FortiOS/FortiProxy, und unterhält eine Datenbank mit rund 14.700 bereits kompromittierten FortiGate-Geräten. Im Netzwerk schaltet sie mit der BYOVD-Technik Sicherheitswerkzeuge auf Kernel-Ebene aus, bevor sie Daten verschlüsselt und abzieht.
Die britische Finanzaufsicht FCA verpflichtet Finanzunternehmen künftig, schwere Cybervorfälle binnen 24 Stunden nach Feststellung der Meldeschwelle zu melden; für Zahlungsdienstleister gilt eine Frist von vier Stunden. Die Behörde verwies darauf, dass 2025 über 40 Prozent der gemeldeten Vorfälle einen Drittanbieter betrafen, und verlangt nun ein jährlich einzureichendes Register wesentlicher Drittanbieter-Vereinbarungen. Die Regeln treten im März 2027 in Kraft.
In der zehntägigen Operation Alice schalteten von deutschen Behörden geführte und von Europol unterstützte Ermittler mehr als 373.000 Darknet-Domains ab. Betrieben wurden sie von einem 35-jährigen, in China ansässigen Mann, der seit mindestens 2021 ein Netz betrügerischer Plattformen führte. Die Seiten bewarben Missbrauchsmaterial und Cybercrime-as-a-Service, lieferten aber nach Zahlung nichts und brachten dem Betreiber geschätzt 345.000 Euro von rund 10.000 Geschädigten ein. Behörden aus 23 Ländern beteiligten sich; 440 Kunden sind inzwischen identifiziert und Gegenstand von Ermittlungen.
Google stellte für Android einen neuen „erweiterten Ablauf“ vor, der die Installation von Apps unverifizierter Entwickler mit bewusster Reibung versieht. Nutzer müssen den Entwicklermodus aktivieren, bestätigen, dass niemand sie anleitet, das Gerät neu starten, um aktiven Fernzugriff zu kappen, und einen vollen Tag bis zur biometrischen oder PIN-Bestätigung warten – Schritte, die die von Betrügern erzeugte Dringlichkeit durchbrechen sollen. Die Funktion soll im August eingeführt werden.
