Ein Support-Dienstleister für die Messaging- und Social-Media-Plattform Discord ist Opfer eines Cyberangriffs geworden. Dabei sollen Kriminelle auf Kundendaten zugegriffen haben und diese als Druckmittel für eine Erpressung einsetzen.

Hintergründe

In einer Stellungnahme weisen die Discord-Betreiber auf die Attacken hin. Sie versichern, dass davon ausschließlich Kunden betroffen seien, die in Kontakt mit dem Support waren. Demzufolge hätten die Angreifer auch nur auf diesen Kontext betreffende Nutzerdaten Zugriff gehabt. Sie versichern, dass Discord direkt nicht betroffen war. Demzufolge konnten die Angreifer keine Chatnachrichten einsehen.

Die Betreiber stellen klar, den IT-Sicherheitsvorfall mittlerweile im Griff zu haben und betroffene Nutzer zu kontaktieren. Wie viele Opfer konkret betroffen sind, ist derzeit nicht bekannt. Die Verantwortlichen geben an, dass die Angreifer unter anderem Ausweisnummern, IP-Adressen, Nachrichten an den Support und Zahlungsinformationen kopieren konnten. Darunter sollen sich aber keine vollständigen Kreditkartennummern und Passwörter befinden.

Mögliche Folgen der Attacke

Sicherheitsforscher legen nahe, dass die erbeuteten Daten weitreichende Folgen haben können. Schließlich können die Angreifer daraus vergleichsweise überzeugend Phishing-Mails für etwa Kryptowährungsbetrug stricken. Demzufolge sollten Discord-Nutzer E-Mails ab sofort noch kritischer beäugen und nicht auf Links in Mails klicken oder sogar Dateianhänge öffnen. Die Angreifer geben an, den Support-Dienstleister Zendesk attackiert zu haben. Das wurde aber von offizieller Seite bislang nicht bestätigt.

Hinter den Attacken sollen die Cyberkriminellen von Scattered Lapsus$ Hunters stecken. Die wollen sich eigenen Angaben zufolge eigentlich aus dem Cybercrimegeschäft zurückziehen. In der Vergangenheit haben sie unter anderem Jaguar und Marks & Spencer erfolgreich attackiert und Schäden in Millionenhöhe verursacht.

(des)

Gut zwei Wochen nach einem Cyberangriff auf einen IT-Dienstleister am Hauptstadtflughafen BER ist der Schaden am elektronischen System der Passagierabfertigung behoben. „Das zentrale System des Dienstleisters Collins Aerospace ist seit Sonntagmorgen wieder am Netz“, sagte eine BER-Sprecherin auf eine Anfrage der Deutschen Presse-Agentur.

IT-Fachleute der Flughafengesellschaft hätten am Wochenende damit begonnen, umfangreiche Sicherheitstests durchzuführen. Diese seien bislang erfolgreich verlaufen. „Ab Montag erfolgt die schrittweise Wiederanbindung der Fluggesellschaften an das System“, so die Sprecherin.

Cyberattacke legte elektronische Systeme lahm

Die Check-in-Schalter und Boarding-Gates werden dann schrittweise nach einem abgestimmten Wiederinbetriebnahme-Plan angeschlossen. Dann dürfte sich auch die Lage für Reisende normalisieren, die zuletzt längere Wartezeiten bei Check-in, Boarding und in der Gepäckausgabe hinnehmen mussten.

Der Flughafen-Dienstleister war am 19. September Opfer des Cyberangriffs geworden. Betroffen waren mehrere Airports in Europa. Der Hackerangriff legte am BER elektronische Systeme lahm, die für die Passagier- und Gepäckabfertigung genutzt werden.

Betroffen waren nicht zuletzt die Check-in-Schalter. Die Airlines behalfen sich seither damit, das Einchecken der Passagiere zum Teil per Hand zu erledigen, zum Teil mit externer Technik. Alternativ konnten und können Reisende die Self-Service-Stationen mit Automaten im Flughafen nutzen und oft auch selbst Gepäck an Automaten aufgeben.

Große Probleme für Reisende

Der Cyberangriff zog vor allem in den ersten Tagen danach erhebliche Probleme für Fluggäste nach sich, mit langen Schlangen beim Check-in oder bei der Gepäckausgabe. Massenhaft blieben Koffer liegen, es gab auch Verspätungen und Flugausfälle. Nach und nach ruckelte sich alles einigermaßen zurecht, sodass der Betrieb laut Flughafengesellschaft stabil lief. Nach Auskunft der BER-Sprecherin kann es momentan aber weiterhin zu längeren Wartezeiten bei Check-in, Boarding und auch in der Gepäckausgabe kommen.

„Aufgrund des Cyberangriffs zurückgebliebenes Gepäck bauen die Fluggesellschaften zusammen mit ihren Bodenverkehrsdienstleistern weiterhin schnellstmöglich ab und senden es nach“, fügte sie hinzu. Nicht angekommenes Gepäck sollten Passagiere am Zielort sofort bei der Gepäckermittlung melden. Weiterer Ansprechpartner für nicht zugestelltes Aufgabegepäck ist die Fluggesellschaft als Vertragspartner der Reisenden. Nur diese kann Auskunft über den Verbleib und die Nachlieferung geben.

Viel Betrieb am langen Feiertagswochenende

Den besonders großen Passagierandrang am langen Feiertagswochenende bewältigten die Beschäftigten von Flughafen, Bodenverkehrsdienstleistern und Fluggesellschaften nach Angaben der BER-Sprecherin gut. „Der Flugbetrieb am BER ist auch am verkehrsreichen Sonntag entsprechend den Umständen nach dem Cyberangriff geordnet angelaufen“, schilderte sie. Im Laufe des Tages erwartete der Airport 96.000 Fluggäste. Am Freitag, dem Tag der Deutschen Einheit, waren es 90.000 Reisende. Das ist im Vergleich zu anderen Tagen viel.

(nen)

Stimmen die Voraussetzungen, können Angreifer Dell PowerProtect Data Domain attackieren und Systeme als Root kompromittieren. Sicherheitspatches stehen zum Download bereit.

Systeme vor Attacken schützen

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler unzählige Schwachstellen in der Anwendung selbst, aber auch in Komponenten wie Bind, FreeType und OpenSSL geschlossen. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem unbefugt auf Systeme zugreifen (etwa CVE-2025-43914 „hoch„) oder sogar Schadcode ausführen.

Verfügt ein Angreifer bereits über hohe Nutzerrechte, kann er sich zum Root-Nutzer hochstufen (CVE-2025-43890 „mittel„) und so PCs vollständig kompromittieren. Ob Angreifer bereits Computer attackieren, ist bislang nicht bekannt. Admins sollten sicherstellen, dass eine der gegen die geschilderten Attacken gerüstete Dell PowerProtect-Data-Domain-Version installiert ist:

• 8.5.0.0
• 8.4.0.0
• 8.3.1.10
• 7.10.1.70
• 7.13.1.40

(des)