Die kriminelle Online-Bande ShinyHunters hat Daten von Nutzern und Nutzerinnen bei dem Fahrzeug-Verkaufsdienstleister CarGurus Inc. kopiert. Nach offenbar fehlgeschlagenem Erpressungsversuch des seit 2017 auch in Deutschland aktiven Unternehmens sind die Daten nun öffentlich. Das Prüfangebot Have-I-Been-Pwned (HIBP) von Troy Hunt hat die Daten aufgenommen. Wer die Plattform genutzt hat, kann dort jetzt prüfen, ob die eigenen Informationen betroffen sind.

Wie Hunt auf der Have-I-Been-Pwned-Übersichtsseite zu den Datenlecks schreibt, umfassen die veröffentlichten Daten mehr als 12 Millionen E-Mail-Adressen in mehreren Dateien. Zudem sind Nutzerkonten-IDs enthalten, Daten aus finanziellen Vorprüfungen, Händlerkonten sowie Abo-Informationen. Hunt führt weiter aus, dass auch Namen, Telefonnummern, Anschriften und IP-Adressen sowie der Ausgang von Finanzierungsanfragen betroffen sind.

CarGurus: Umfangreicher Datensatz kopiert

Laut der Leaksite von ShinyHunters im Darknet sind die Daten komprimiert 6,1 GByte groß und umfassen mehr als 12,4 Millionen Einträge – das deckt sich mit den Angaben von Troy Hunt. Die Cyberbande hat die Daten demnach am vergangenen Samstag veröffentlicht. Hunt hat sie am gestrigen Sonntag in die HIBP-Datensammlung eingepflegt.

ShinyHunters fielen etwa Mitte Dezember auf, als die Kriminellen Daten von einem Dienstleister von Pornhub abgegriffen hatten und mit deren Veröffentlichung drohten. Diese gehörten etwa zu Nutzern des Premium-Angebots der Pornografie-Plattform. Zu dem Zeitpunkt war der Darknet-Auftritt der Gruppe offline. Nun ist er jedoch wieder erreichbar.

Wer prüfen möchte, ob die eigene E-Mail-Adresse in diesem oder anderen Datenlecks enthalten ist, kann das einfach auf der Webseite des Have-I-Been-Pwned-Projekts machen. Der Identity Leak Checker des Hasso-Plattner-Instituts bietet einen vergleichbaren Dienst an, ebenso die Universität Bonn mit ihrem eigenen Identity Leak Checker. Anfang November vergangenen Jahres hatte das Have-I-Been-Pwned-Projekt 1,3 Milliarden neu geleakter E-Mail-Adressen zu dem Datenfundus hinzugefügt. Sie stammten von Datensammlungen, die Infostealer-Malware angelegt hatte.

(dmk)

In Bremen läuft in 14 Tram-Bahnen KI-gestützte Videoüberwachung, ab April soll das System auf die übrigen Bahnen und Busse ausgerollt werden. Das haben die Verkehrsbetriebe (BSAG) vergangene Woche im Rahmen einer Projektvorstellung bekannt gemacht. Das System versucht zu erkennen, wie die abgebildeten Menschen handeln, um so aggressives Verhalten zu detektieren.

80 Prozent der Kosten von 10.000 Euro je Bahn zahlt das Bundesverkehrsministerium, das hier offenbar ein Leuchtturmprojekt sieht. Laut der Verkehrsbetriebe ist Bremen damit das erste Bundesland mit KI-Überwachung im öffentlichen Nahverkehr. Die Bremer Polizei hat ebenfalls Interesse an der Technologie angemeldet, die sie im öffentlichen Raum einsetzen möchte. Zahlreiche Bundesländer bohren dafür gerade ihre Polizeigesetze auf.

Die für die KI-Analyse nötige Videoüberwachung stünde in Bremen bereit. An 40 Standorten wird der öffentliche Raum mit Kameras kontrolliert. Doch die Bremer Polizei wird noch warten müssen. Am Mittwoch soll eine Novelle des Polizeigesetzes in der Bremischen Bürgerschaft debattiert werden. Die Erlaubnis, Verhaltensscanner zu nutzen, beinhaltet sie nicht. Dafür erlaubt der Gesetzentwurf der Polizei aber den heimlichen Einsatz von Videodrohnen.

Bremer Polizei soll heimlich Überwachungsdrohnen einsetzen

Die Überwachung mit Videodrohnen soll in drei Stufen stattfinden: Livestream zur Lagebeurteilung, Aufzeichnung, verdeckter Einsatz – mit jeweils immer höheren Eingriffsschwellen. Dem verdeckten Einsatz muss beispielsweise ein Richter zustimmen – außer es liegt eine Gefahr für „Leib, Leben oder Freiheit“ einer Person vor. Dann darf die Polizei auch freihändig agieren.

Die Entwicklung ist besonders interessant, da Bremen seit 2007 von einer Koalition aus SPD, Grünen und Linken regiert wird, die sich eigentlich ein besonders liberales Polizeigesetz gegeben hatte. In Bremen kann man etwa nach einer Polizeikontrolle eine Quittung verlangen, die den Grund für die Kontrolle verrät und die Polizist*innen im Land tragen eine individuelle Kennzeichnung.

Nun folgt also auch dieses Land zumindest ein Stück weit dem bundesweiten Trend zur Verschärfung der Polizeigesetze. So soll beispielsweise mit dem neuen Polizeigesetz ein Satz wegfallen, der Zivilpolizist*innen im Rahmen einer Maßnahme dazu verpflichtet, sich unaufgefordert auszuweisen.

Präventiver Einsatz von elektronischen Fußfesseln

Primär geht es in dem Entwurf um den Schutz von Opfern häuslicher Gewalt. Dazu soll der Aufenthaltsort der Täter*innen mit elektronischen Fußfesseln überwacht werden. Nach dem „Spanischen Modell“ sollen sich auch die Opfer freiwillig überwachen lassen können, um bei einer Annäherung des Täters gewarnt zu werden.

Das GPS-Tracking darf nicht nur gegen Ausübende häuslicher Gewalt eingesetzt werden, sondern auch gegen Menschen, denen die Polizei zutraut, dass sie einen Terroranschlag begehen. Der Einsatz ist präventiv möglich, ohne dass es vorher zu einer Straftat gekommen sein muss.

Mit dem neuen Polizeigesetz will Bremen auch die Hürden für Videoüberwachung des öffentlichen Raums senken. Während bislang noch eine erhöhte Kriminalitätsbelastung nötig ist, damit ein bestimmtes Areal überwacht werden kann, soll es künftig reichen, dass die örtlichen Verhältnisse Straftaten erwartbar machen. Dann reicht die Annahme, dass dort irgendwann mal etwas passiert, um ein Areal zu überwachen. Das bringt die Legitimation der Videoüberwachung von einer faktischen, zahlenbasierten Grundlage in die freihändige Einschätzung der zuständigen Polizeikräfte.

Bei der Verarbeitung von bestimmten Dateitypen durch GIMP kann es zu Fehlern kommen. Das ist ein Einstiegspunkt für Angreifer, um Schadcode auf Computer zu schieben und auszuführen. Eine dagegen abgesicherte Version steht zum Download bereit.

Die Gefahren

Sicherheitsforscher von Trend Micros Zero Day Initiative führen die Lücken in ihrem Portal auf. Wie aus mehreren Warnmeldungen (CVE-2026-2044 „hoch“, CVE-2026-2045 „hoch“, CVE-2026-2047 „hoch“, CVE-2026-2048 „hoch“) hervorgeht, können entfernte Angreifer für Schadcode-Attacken an den Schwachstellen ansetzen. Ob davon alle Betriebssysteme bedroht sind, geht aus den Beiträgen nicht hervor.

Die Fehler finden sich bei der Verarbeitung von ICNS-, PGM- oder XWD-Dateien. Dabei kommt es zu Speicherfehlern und es gelangt Schadcode auf PCs. Das geschieht aber nicht ohne Weiteres: Dazu müssen Angreifer den Opfern eine präparierte Datei unterschieben, die diese dann öffnen. Alternativ können Angreifer präparierte Dateien auf einer von ihnen kontrollierten Website zum Download bereitstellen.

In den Beiträgen der Sicherheitsforscher gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, an welchen Parametern man bereits attackierte Systeme erkennen kann.

Hintergründe

Die Zero Day Initiative gibt an, dass die Sicherheitslücken bereits im November vergangenen Jahres an die GIMP-Entwickler gemeldet wurden. Die Warnmeldungen wurden erst jüngst veröffentlicht. Aus dem Changelog zu GIMP 3.0.8 von Ende Januar dieses Jahres geht hervor, dass die Entwickler die Sicherheitsprobleme gelöst haben. Nutzer sollten sicherstellen, dass sie mindestens diese Version installiert haben.

Zuletzt sorgte GIMP im IT-Security-Kontext im Oktober 2025 für Schlagzeilen, als die Entwickler ebenfalls Schadcode-Schlupflöcher geschlossen haben.

(des)