Breaking news and updates from the world of technology.
Der weltweit größte Kreuzfahrtbetreiber hat begonnen, 5.995.277 Kunden über einen Social-Engineering-Angriff im April zu informieren, bei dem Namen, Geburtsdaten, E-Mail-Adressen und Treueprogramm-Daten kompromittiert wurden. Die Hackergruppe ShinyHunters bekannte sich zu dem Angriff und gab an, insgesamt 8,7 Millionen Datensätze erbeutet zu haben.
Der weltweit größte Kreuzfahrtbetreiber hat damit begonnen, 5.995.277 Kunden zu benachrichtigen, dass ein Social-Engineering-Angriff im April ihre Namen, Geburtsdaten, E-Mail-Adressen und Daten ihres Treueprogramms kompromittiert hat. Die Gruppe ShinyHunters reklamiert den Angriff für sich und gibt an, insgesamt 8,7 Millionen Datensätze erbeutet zu haben.
Wiz Research hat JINX-0164 dokumentiert, eine bislang unbekannte Bedrohungsgruppe, die seit Mitte 2025 aktiv ist. Sie kombiniert gefälschte LinkedIn-Rekrutierungsversuche, speziell entwickelte macOS-Malware und laterale Bewegungen in CI/CD-Infrastrukturen, um Kryptowährungs-Wallets zu leeren und Entwicklungsumgebungen zu kompromittieren.
Angreifer veröffentlichten ein gefälschtes npm-Paket, das heimlich alle Dateien aus dem Arbeitsverzeichnis von Claude AI in ein von ihnen kontrolliertes GitHub-Repository exfiltrierte. Es ist der jüngste Fall einer Welle von Supply-Chain-Angriffen, die gezielt KI-Coding-Tools ins Visier nehmen.
Eine vier Jahre alte Authentifizierungsumgehung in Giteas Container-Registry (CVE-2026-27771) erlaubte es jedem, private Images ohne Anmeldedaten abzurufen. Der Fix ist in Version 1.26.2 – auch Forgejo ist betroffen.
Ein kompromittierter privater Schlüssel in StablRs 1-von-3-Multisignatur-Wallet für die Prägung erlaubte einem Angreifer, Millionen ungedeckter USDR- und EURR-Token zu prägen – beide entkoppelten stark. Der maltesische, MiCA-regulierte Emittent hat die Aktivitäten eingefroren und die Behörden informiert.
Die Europäische Kommission steuert auf die höchste je verhängte DMA-Strafe zu, da Google Search eigene Shopping-, Flug- und Hotelergebnisse bevorzugt. Eine Entscheidung wird noch vor der Sommerpause erwartet.
Eine im Auftrag des iranischen Geheimdienstministeriums handelnde Gruppe griff im März 2026 die LACMTA an, stahl Daten und löschte sie anschließend – was eine mehrwöchige Wiederherstellung erzwang. Die falsche Hacktivist-Persona 'Ababil of Minab' tarnte eine MOIS-Operation, die Teil einer breiteren iranischen Cyberkampagne gegen die US-Infrastruktur war.
ShinyHunters griff im April die Salesforce-Instanz von Charter mittels eines Vishing-Angriffs auf die SSO-Zugangsdaten eines Mitarbeiters an und behauptet, 40 Millionen Kundendatensätze extrahiert zu haben. Charter bestreitet den Umfang, bestätigt aber den Vorfall.
CVE-2026-48710, genannt BadHost, ermöglicht es Angreifern, den HTTP-Host-Header so zu manipulieren, dass Starlette einen anderen URL-Pfad meldet als tatsächlich geroutet wurde – und dabei stillschweigend jede Middleware umgeht, die den request.url.path für Zugriffskontrollen prüft. FastAPI, vLLM, LiteLLM und MCP-Server sind alle betroffen.
Ferrari hat den Luce enthüllt, sein erstes BEV: eine fünfsitzige Limousine, gestaltet von LoveFrom, mit einer Reichweite von 530 Kilometern und einem Innenraum, der 2026 einen neuen Standard setzen könnte.
Google hat seine traditionelle Suchmaschine durch ein vollständig KI-basiertes System auf Basis von Gemini 3.5 Flash ersetzt und blaue Links zugunsten von gesprächsbasierten Antworten eliminiert.