Connect with us

Datenschutz & Sicherheit

Interview zu WhatsApp: Von Emojis zum Mega-Datenleck


Am 18. November machte eine Forschungsgruppe der Universität Wien und des Forschungszentrums SBA Research einen der „größten Datenabflüsse aller Zeiten“ bekannt. Der Gruppe war es gelungen, 3,5 Milliarden Nutzer-Profile des Messengerdienstes WhatsApp zu sammeln, inklusive Profilbildern, Infotexten und öffentlichen Schlüsseln. Die dazugehörige Studie „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ veröffentlichten sie, nachdem Mutterkonzern Meta die Sicherheitslücke geschlossen hatte.

Die abgeflossenen Daten stuft WhatsApp als öffentlich ein. Dennoch konnten die Forscher*innen vieles aus ihnen ablesen. Auch Profile von WhatsApp-Nutzenden in China, Myanmar und Nordkorea fanden sie. In diesen Ländern ist der Instant-Messenger verboten. Aljosha Judmayer ist Teil der Fakultät für Computerwissenschaften der Universität Wien und Co-Autor der Studie. Er spricht über den erstaunlichen Fund des Datenlecks und dessen Implikationen.

netzpolitik.org: Herr Judmayer, Ihnen ist es gelungen, praktisch das gesamte WhatsApp-Nutzerverzeichnis mit rund 3,5 Milliarden Profilen ungehindert abzurufen und zu analysieren. Wie haben Sie es geschafft, eine so große Menge an Daten zu sammeln?

Aljosha Judmayer: Unsere Forschungsgruppe befasst sich schon länger mit Instant-Messengern wie WhatsApp oder Signal. Im Zuge anderer Projekte sind wir auf eine kleine Sicherheitslücke bei einer Funktion von WhatsApp gestoßen. Ein Kollege ist dann auf die Idee gekommen, die Software-Schnittstelle zwischen WhatsApps Teilnehmerverzeichnis und dem Smartphone-Adressbuch auch auf diese Sicherheitslücke zu untersuchen.

netzpolitik.org: Was fanden Sie dort?

Aljosha Judmayer: Durch die Programmschnittstelle zwischen Nutzerverzeichnis und Adressbuch können Nutzende schauen, ob ihre Kontakte bei WhatsApp registriert sind. Wir haben das einfach in sehr großem Stil gemacht. Wir haben es geschafft, einen Katalog von Milliarden von generierten, aber möglichen Telefonnummern mit dem Nutzerverzeichnis abzugleichen und konnten so ungefähr 3,5 Milliarden WhatsApp-Profile ausfindig machen.

„Es gab keine Obergrenze“

netzpolitik.org: WhatsApp hat die Zahl der Anfragen nicht begrenzt?

Aljosha Judmayer: Es gab keine Obergrenze, wie viele Telefonnummern man in einer gewissen Zeit abfragen kann, also kein Rate-Limiting. Anhand der Telefonnummern konnten wir durch andere Abfragen auch an Nutzerinfos gelangen, wie das Profilbild, den Info-Text und die öffentlichen Schlüssel des Profils.

netzpolitik.org: Waren Sie überrascht über das Ausmaß der Sicherheitslücke?

Aljosha Judmayer: Ja, wir waren sehr überrascht. Zwischen dem ersten Projekt, durch das wir auf fehlendes Rate-Limiting bei einer Funktion von WhatsApp aufmerksam wurden, und dem Aufdecken des Datenlecks haben wir uns noch mit sogenannten One-time Prekeys beschäftigt. Dabei haben wir die schon angesprochene kleine Sicherheitslücke gefunden. Die haben wir Meta gemeldet und darauf hingewiesen, dass das dort fehlende Rate-Limiting vielleicht auch in anderen Bereichen zum Tragen kommen könnte, zum Beispiel beim Nutzerverzeichnis.

netzpolitik.org: Wie hat Meta reagiert?

Aljosha Judmayer: Wir haben sehr generische Antworten erhalten, im Sinne von: „Danke, schauen wir uns an.“ Wir dachten dann, dass man sich bei Meta offenbar sehr sicher ist, dass es bei Telefonnummern ein Rate-Limit gibt. Also haben wir angefangen, uns das selbst anzuschauen. Wir haben erwartet, dass wir relativ schnell geblockt werden, weil das ja doch etwas heikel ist. Wir sind ja nicht die ersten, die auf die Idee kamen, Telefonnummern zu enumerieren. Als es dann doch funktioniert hat, waren wir sehr überrascht.

„Wir wollten das System ausreizen“

netzpolitik.org: Sie haben gerade ein anderes Projekt erwähnt, durch das Sie als erstes auf fehlendes Rate-Limiting bei WhatsApp gestoßen sind. Worum ging es in dem Projekt?

Aljosha Judmayer: Es basierte auf der Funktion von WhatsApp, bei der man mit Emojis auf Nachrichten reagieren kann. Wenn wir in einem Messenger wie Signal oder WhatsApp Nachrichten bekommen, schickt unser Gerät automatisch Nachrichten an den Sender zurück, auch ohne dass wir antworten. In denen sagt unser Gerät so viel wie: Ja passt, habe ich bekommen, konnte ich entschlüsseln, alles erfolgreich. Diese Bestätigungen werden automatisch verschickt, ohne das man es merkt. Und sie werden auch dann verschickt, wenn jemand mit einem Emoji auf eine Nachricht reagiert und dann das Emoji noch mal verändert. Nur bekomme ich als Empfänger das nicht mit.

netzpolitik.org: In welchem Zusammenhang steht das mit Rate-Limiting?

Schwarz-weißes Porträtfoto von einem jungen Mann mit Brille und Glatze
Aljosha Judmayer forscht an der Universität Wien.

Aljosha Judmayer: Wir dachten uns: Na gut, wenn der Empfänger das nicht merkt, kann man das ja auch sehr oft machen, im Sekundentakt. Vielleicht kann man aus den Zeiten, die die Anfrage braucht von Handy zu WhatsApp-Server und wieder zurück, interessante Daten herauslesen. Wir haben dann sehr schnell sehr viele Anfragen gemacht und wollten das System ausreizen. Bis uns aufgefallen ist, dass das sehr schwierig ist, es also kein sogenanntes Rate-Limiting gibt. Dieser fehlende Schutz vor übermäßigen Abfragen ist auch die Grundlage des Datenlecks.

netzpolitik.org: Inhaltsdaten sind bei dem Leck nicht abgeflossen, also keine Nachrichten. Dafür aber Metadaten wie Telefonnummern, Profilbilder und öffentliche Schlüssel. Lassen sich durch eine Verknüpfung dieser Daten einzelne Nutzer*innen identifizieren?

Aljosha Judmayer: Wenn das Profilbild auf öffentlich gestellt ist und das Gesicht der jeweiligen Person zeigt, dann ja. Wir haben exemplarisch eine kleine Stichprobe an Profilbildern auf ihren Inhalt untersucht. Ein signifikanter Prozentsatz beinhaltete wirklich Gesichter. In diesen Fällen hätte man einzelne Nutzende identifizieren können. Vorausgesetzt, das gezeigte Gesicht gehört auch wirklich dem oder der Nutzenden.

netzpolitik.org: Sie haben Meta vor der Veröffentlichung mehrfach über Ihre Entdeckungen informiert. Wie hat das Unternehmen darauf reagiert?

Aljosha Judmayer: Wir haben in unserem Paper zum Datenleck auch eine sehr detaillierte Timeline zum Kontakt mit Meta, die kann ich nur empfehlen. Dort sieht man, dass wir Meta zum ersten Mal im September 2024 auf Probleme mit dem Rate-Limiting aufmerksam gemacht haben. Erst 2025 haben wir aber explizit darauf hingewiesen, dass Enumeration von Telefonnummern auch möglich ist. Wir bekamen einen standardmäßigen Fragebogen, den wir ausfüllten und dann schloss Meta das Anliegen.

„Davor war die Zusammenarbeit recht einseitig“

netzpolitik.org: Wie lange hat es ab da noch gedauert, bis Meta das Ausmaß des Problems erkannt hat?

Aljosha Judmayer: Man kann widersprechen und das eingereichte Anliegen wieder öffnen, was wir taten. Wirklich Notiz genommen von unserer Entdeckung hat Meta aber erst im August oder September dieses Jahres. Da haben wir ihnen quasi das fertige Paper geschickt und darauf hingewiesen, dass es bereits für eine Konferenz akzeptiert wurde und dass wir es bald online stellen. Plötzlich wollte Meta am nächsten Tag einen Call. Ab dem Zeitpunkt ging es schnell. Sie haben dann angefangen, Maßnahmen zu ergreifen und uns gebeten, die Veröffentlichung zurückzuhalten. Das haben wir  auch getan, weil wir gemerkt haben, dass es Meta jetzt ernst meint. Sie haben Rate-Limiting implementiert und wir konnten bestätigen, dass man über die Endpunkte, die wir benutzt haben, nicht mehr WhatsApp-Profile en masse abfragen kann.

netzpolitik.org: Hat Meta das Problem damit behoben?

Aljosha Judmayer: Ja. Wir haben natürlich nicht die gesamte WhatsApp-Infrastruktur auf Herz und Nieren getestet. Ausschließen können wir nichts, aber so, wie wir es gemacht haben, geht auf jeden Fall nicht mehr.

„Selbst aus diesen öffentlichen Daten kann man interessante Dinge herauslesen“

netzpolitik.org: Meta hat gegenüber Heise ein Statement abgegeben, in dem von einer Zusammenarbeit mit Ihrer Forschungsgruppe im Rahmen von Metas Bug-Bounty-Programm die Rede ist. In Ihrem Paper werden viele erfolglose Kontaktaufnahmen mit Meta geschildert, bevor sich der Konzern dem Anliegen Ihrer Forschungsgruppe annahm. Was halten Sie von dieser Stellungnahme, in der Meta von Zusammenarbeit spricht?

Aljosha Judmayer: Man kann die Zeitspanne ab dem Zeitpunkt, wo Meta reagiert hat, schon als Zusammenarbeit betrachten. Von da an gab es fast jede oder jede zweite Woche eine Abstimmung. Davor war die Zusammenarbeit recht einseitig. Was intern bei Meta passiert ist, kann ich nicht beurteilen.

netzpolitik.org: Das Bug-Bounty-Programm belohnt Finder von Sicherheitslücken bei Meta. Werden Sie im Rahmen des Programms auch eine Kompensation erhalten?

Aljosha Judmayer: Es gibt bis jetzt nur eine mündliche Zusage von Meta. Laut der sollen wir für das Finden des Datenlecks 11.000 Euro bekommen. Dazu kommen noch die anderen kleineren Schwachstellen, die wir gefunden haben, sodass sich der Betrag insgesamt auf ungefähr 17.000 Euro beliefe. Aber uns war es auch einfach ein Anliegen, dass diese Daten nicht mehr so leicht zugänglich sind. Auch wenn die Daten aus WhatsApps Sicht alle öffentlich sind. Wir wollten halt zeigen, dass man selbst aus diesen öffentlichen Daten interessante Dinge herauslesen kann.

„Ob und wie WhatsApp verwendet wird, muss jeder einzeln entscheiden“

netzpolitik.org: Eine der brisantesten Erkenntnisse ist, dass der Messenger auch in Ländern wie China oder Myanmar genutzt wird, wo er eigentlich verboten ist. Das kann Menschen ins Gefängnis oder gar in Lebensgefahr bringen. Machen die Maßnahmen, die Meta getroffen hat, die Lage für Nutzer*innen in diesen Ländern sicherer? Gibt es dort überhaupt sichere Nutzung?

Aljosha Judmayer: Ich kenne mich mit der Rechtslage in den jeweiligen Ländern nicht genügend aus, um einschätzen zu können, was da konkret die Bedrohungsszenarien sind. Durch den Fix ist es auf jeden Fall nicht mehr so leicht, an WhatsApp-Nutzerdaten zu kommen. Unser Projekt war jetzt keine sehr elaborierte Teststellung mit verschiedenen wechselnden IP-Adressen und unterschiedlichen Telefon-Nummern. Wir haben nichts verschleiert und es hat trotzdem funktioniert. Das geht jetzt nicht mehr und das ist auf jeden Fall gut. Ob es ausreicht, kann ich nicht sagen.

Genau deswegen war es uns auch ein Anliegen, unsere Ergebnisse öffentlich zu machen. So können Menschen in den Ländern mit WhatsApp-Verbot erfahren, wie leicht man sie als Nutzer*innen aufspüren kann und das in ihre persönliche Risikobewertung mit einfließen lassen. Ob und wie WhatsApp verwendet wird, muss jeder einzeln entscheiden.

netzpolitik.org: Müssen sich Nutzende Sorgen machen, dass andere vor Ihnen die Lücke ebenfalls bemerkt haben und in der Lage waren, im gleichen großen Stil Daten abzufragen, um diese zum Beispiel für illegale Zwecke zu nutzen?

Aljosha Judmayer: Das ist eine Frage, die nur WhatsApp im Detail beantworten kann. Oder diejenigen, die die Daten potenziell illegal abgefragt haben, aber die werden es wahrscheinlich nicht. Wir können nur Aussagen über den Zeitraum treffen, in dem wir getestet haben, also von Ende letzten Jahres bis ungefähr zum Oktober dieses Jahres. Da konnte man Daten abfragen, das hätten auch Dritte gekonnt. Laut WhatsApp gibt es keine Indikatoren, dass das jemand anderes gemacht hat.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Updaten! Angriffsversuche auf Sicherheitslücken in Cisco Unified Communications


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Weiterlesen nach der Anzeige

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Weiterlesen nach der Anzeige

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Bundesdruckerei: Datenatlas Bund ist durchgefallen


Für den Datenatlas Bund startet das Jahr aussichtslos. Das Metadaten-Portal sollte eigentlich die Arbeit der Bundesverwaltung vereinfachen: Behörden und Ministerien sollten damit interne Daten der Bundesverwaltung besser finden, verknüpfen und nutzen können. Doch nun hat die Bundesdruckerei den Datenatlas offline geschaltet. Das teilte eine Sprecherin des Bundesministeriums der Finanzen (BMF) auf Anfrage mit.

Das Ministerium hatte die Bundesdruckerei mit der Entwicklung des Datenatlas Bund beauftragt. Die setzte seit 2022 die Forderung aus der Datenstrategie des Bundes von 2021 um. In den einzelnen Ministerien waren die Datenlabore für den Datenatlas zuständig. Warum die Bundesdruckerei den Datenatlas vom Netz genommen hat, ist unklar.

Offiziell heißt es aus der Bundesdruckerei und dem BMF, das Vertragsverhältnis habe zum 31. Dezember 2025 geendet. „Damit endete auch der Betrieb durch uns als Dienstleister“, so die Bundesdruckerei. Auf ihrer Website bewirbt sie den Datenatlas noch immer damit, er sei modern, digital souverän und KI-fähig; über Social Media suggeriert ein Mitarbeiter, er bediene die Ansprüche einer datengetriebenen Verwaltung.

Datenatlas voller Mängel

Dass der Datenatlas weit weniger kann als beworben, zeigte ein unabhängiges wissenschaftliches Gutachten von David Zellhöfer. Der Professor von der Hochschule für Wirtschaft und Recht Berlin erstellte es eigeninitiativ und unentgeltlich und veröffentlichte es Anfang Dezember.

Zellhöfers Datengrundlage stammt aus dem Sommer 2025 und davor. Er wertete Aussagen von Mitarbeiter:innen der Datenlabore und einige Screenshots aus. Außerdem gewährten ihm einige Kolleg:innen aus der Bundesverwaltung Einblicke in das Metadaten-Portal über kurze Live-Demos. Seine direkte Anfrage nach Informationen für seine Forschung wies die Bundesdruckerei ab. Zellhöfers Fazit: In Teilen entspricht das Portal nicht einmal dem Stand der Technik von 1986.

Eigentlich sollte das Metadaten-Portal Datenbestände der öffentlichen Verwaltung für Behörden zugänglicher machen. Metadaten sind Daten über Daten, wie das Erstellungsdatum, der Dateityp oder der Speicherort. Doch habe es dem Datenatlas an grundlegenden Funktionalitäten gemangelt.

Beispielsweise habe es im Datenatlas keine explorative Suche gegeben, wie man das etwa von Suchmaschinen kennt, sondern nur eine gerichtete Suche. Dementsprechend hätten Suchende immer genau wissen müssen, welches Dokument oder welchen Datensatz sie suchen. Auch kontrollierte Vokabulare hätten gefehlt: Damit Verwaltungsmitarbeiter:innen Dokumente finden können, sollten die mit denselben Schlagwörtern belegt werden. Das sei im Datenatlas nicht umgesetzt worden. Problematisch sei das etwa bei Tippfehlern. Darunter leide nicht nur die Datenqualität. Auch die Trefferlisten seien aufgrund der gerichteten Suche unvollständig gewesen.

Auch grundlegende Suchfunktionen wie den Einsatz von Suchoperatoren seien im Datenatlas nur sehr eingeschränkt möglich gewesen, zum Beispiel hätten Mitarbeiter:innen die Operatoren „UND“, „ODER“ oder „NICHT“ nicht anwenden können.

Nicht mehr zuständig

Im Dezember hüteten die Bundesdruckerei und das BMF den Datenatlas noch wie ein Staatsgeheimnis. Gegenüber netzpolitik.org betonten beide: Der Datenatlas sei nicht „für die Nutzung durch die Öffentlichkeit“ bestimmt. Zellhöfer hielten sie vor, das Gutachten sei nicht beauftragt worden. Die Bundesdruckerei erwog sogar „rechtliche Schritte“ gegen den Gutachter.

Erst als das Gutachten Aufmerksamkeit bekam, lenkte die Bundesdruckerei ein und versicherte gegenüber netzpolitik.org, die von Zellhöfer angeführten Mängel bestünden nicht. Seine Datengrundlage hätte den Stand des Datenatlas im Sommer 2025 abgebildet, die Mängel scheinen also in der zweiten Jahreshälfte behoben worden zu sein. Offiziell habe die Bundesdruckerei die Entwicklung des Datenatlas bereits im ersten Quartal 2025 abgeschlossen, sagt das BMF heute.

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Nun ist der Datenatlas offline. Sie seien für das Projekt nicht mehr zuständig, heißt es sowohl von der Bundesdruckerei als auch vom BMF. Letzteres erklärte gegenüber netzpolitik.org, man könne keine weitergehenden Fragen zur Umsetzung der Datenstrategie beantworten; bis Ende 2025 habe man „alle Maßnahmen zu einer Übergabe des Datenatlas Bund durchgeführt“.

Digitalministerium lehnt ab

Übernehmen sollte den Datenatlas das Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Doch das lehnt eine „Übernahme des BMF-Projekts im aktuellen Projekt-Stadium“ als „nicht wirtschaftlich“ ab, so ein Sprecher des Ministeriums gegenüber netzpolitik.org.

Nach „intensiver Prüfung“ habe sich gezeigt, dass der Datenatlas Bund „trotz intensiver Bemühungen“ kaum genutzt werde. Um daraus ein „wirksames Tool“ zu machen, müsse außerdem noch viel Entwicklungsarbeit hineinfließen.

Ob das Ministerium die Entwicklung eines neuen Metadaten-Portals anstoßen wird, bleibt offen. Grundsätzlich liefere ein solches Portal „eine wichtige Grundlage für eine effiziente Datennutzung in der Bundesverwaltung“. Bei einer neuen Version wolle man „die im Projekt Datenatlas Bund gewonnenen Erkenntnisse“ berücksichtigen, um sicherzugehen, dass bereits getätigte Investitionen weitergenutzt werden können.

Zellhöfers grobe Wirtschaftlichkeitsbetrachtung veranschlagt als Gesamtkosten des Datenatlas gut 2,3 Millionen Euro. Die Gesamtausgaben für den Datenatlas Bund hätten seit Beginn etwa 24,6 Millionen Euro betragen, so die Sprecherin des BMF auf Anfrage. Mutmaßlich liegen die Kosten deutlich darüber, so äußerten sich zumindest anonyme Quellen gegenüber Zellhöfer.



Source link

Weiterlesen

Datenschutz & Sicherheit

Jetzt handeln! Angreifer umgehen offenbar Fortinet-Sicherheitspatch


Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“.

Weiterlesen nach der Anzeige

Laufende Attacken

Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres bekannt. Zu diesem Zeitpunkt erschienen auch Sicherheitsupdates.

Seitdem laufen auch Attacken und Angreifer nutzen die Lücke aktiv aus. Im Anschluss haben sie Zugriff auf Geräte. In welchem Umfang die Angriffe ablaufen, ist derzeit unklar. In einem Beitrag führen Sicherheitsforscher von Artic Wolf unter anderem Parameter auf, an denen Admins bereits attackierte Geräte erkennen können.

Instanzen sind aber nur angreifbar, wenn die Authentifizierung über SSO aktiv ist. Das ist standardmäßig nicht der Fall. Weil Fortinet zum jetzigen Zeitpunkt noch kein repariertes Sicherheitsupdate veröffentlicht hat, müssen Admins jetzt handeln und die Anmeldung via SSO deaktivieren. Das gelingt über das Command-Line-Interface mit folgenden Befehlen:

config system global

set admin-forticloud-sso-login disable

Weiterlesen nach der Anzeige

end

Verwundbare Instanzen in Deutschland

In einer Warnmeldung listet Fortinet weiterführende Informationen zu den bedrohten Produkten auf. FortiWeb 7.0 und 7.2 sollen von der Lücke nicht betroffen sein. Sicherheitsforscher von Shadowserver haben das Internet auf SSO-Instanzen gescannt. Sie kommen derzeit weltweit auf mehr als 11.000 Stück. Hierzulande sind es noch knapp mehr als 120 Instanzen.

Zusätzlich haben es Angreifer zurzeit auf FortiSIEM abgesehen und nutzen eine „kritische“ Sicherheitslücke (CVE-2025-64155) aus.


(des)



Source link

Weiterlesen

Beliebt