Das Have-I-Been-Pwned-Projekt (HIBP) hat 72,7 Millionen Datensätze der Bekleidungsmarke Under Armour in den Datenfundus aufgenommen. Die gelangten im Herbst vergangenen Jahres bei einem Einbruch von einer Ransomware-Bande bei dem Unternehmen in die falschen Hände.

Das hat HIBP-Betreiber Troy Hunt nun auf der Have-I-Been-Pwned-Webseite verkündet. Die Cybergang Everest hat im November behauptet, bei Under Armour in die IT-Systeme eingedrungen zu sein und dort Daten entwendet zu haben. Damit hatte sie Under Armour um Lösegeld erpresst, damals mit einer Frist von sieben Tagen. Die hat Under Armour offenbar ohne Reaktion verstreichen lassen. Im Januar tauchten Kundendaten aus dem IT-Vorfall in einem bekannten Internet-Untergrundforum auf.

Umfangreiche Kundendaten abgeflossen

Der Datensatz sollte angeblich 343 GByte groß sein. Laut einem Bericht auf X haben sich in dem entpackt 19,5 GByte großen Datensatz aus dem Untergrundforum 72,7 Millionen E-Mail-Adressen befunden sowie insgesamt mehr als 191 Millionen Einträge, über mehrere Dateien verteilt. „Viele Einträge haben auch persönliche Informationen umfasst wie Namen, Geburtsdaten, Geschlecht, geografischer Ort und Informationen zu getätigten Einkäufen“, schreibt Hunt in seiner Zusammenfassung.

Diese Daten können bösartige Akteure etwa für gezielteres, maßgeschneidertes Phishing missbrauchen. Bei Nachrichten oder E-Mails mit Bezug auf Under Armour sollten Kundinnen und Kunden besondere Vorsicht walten lassen, insbesondere dann, wenn diese Handlungsdruck aufbauen. Under Armor hat sich öffentlich bislang noch nicht zu dem IT-Vorfall geäußert.

Die Cybergang Everest ist im vergangenen Herbst etwa auch beim Passagierabfertigungssystem „MUSE“ von Collins Aerospace eingedrungen und hatte dort Daten abgezogen. Das führte in der Folge zu Beeinträchtigung des Flugverkehrs an mehreren europäischen Flughäfen. Die Online-Kriminellen behaupteten dort, durch jahrelang offenstehende Tore eingedrungen zu sein: Der FTP-Server war öffentlich zugänglich und zudem die Zugangsdaten bereits 2022 von einem Infostealer entwendet worden – womit sie bereits in Datenhalden im Untergrund gelandet waren.

(dmk)

Nvidias Programmierschnittstelle CUDA weist Sicherheitslücken auf, wodurch unter anderem Schadcode auf Systeme gelangen kann. Davon sind je nach Sicherheitslücke Linux und Windows bedroht. Eine reparierte Ausgabe von CUDA Toolkit schafft Abhilfe.

Verschiedene Gefahren

Konkret sind von den Lücken (CVE-2025-33228 „hoch“, CVE-2025-33229 „hoch“, CVE-2025-33230 „hoch“, CVE-2025-33231 „mittel“) Nsight Systems und Nsight Visual Studio unter Linux und Windows betroffen. So können Angreifer etwa mit manipulierten Strings im Kontext des Installationspfads an den Schwachstellen ansetzen.

Sind Attacken erfolgreich, können Angreifer unter anderem unbefugt auf Daten zugreifen oder sogar Schadcode ausführen. Letzteres führt in der Regel zu einer vollständigen Kompromittierung von Computern.

In einer Warnmeldung von Nvidia finden sich derzeit keine Hinweise auf laufende Attacken. Um Systeme zu schützen, sollten Admins die mit Sicherheitspatches ausgerüstete CUDA-Toolkit-Version 13.1 installieren. Die Warnmeldung liest sich so, dass alle vorigen Ausgaben verwundbar sind.

In jüngster Vergangenheit hat Nvidia vorwiegend KI-Software mit Sicherheitsupdates versorgt.

(des)

Erst eine kleine Weihnachtspause, dann die Sonderfolge vom 39C3: Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt und die Hosts lassen sich zu einer extralangen Folge hinreißen. Los geht es mit einem Portal des Bundesamtes für Sicherheit in der Informationstechnik, das eigentlich eine gute Idee ist: Über das Portal soll man dem BSI anonym Schwachstellen melden können. Leider bedeutet gut gemeint nicht auch gut gemacht, sodass es weder mit der Anonymität noch mit der grundsätzlichen Benutzbarkeit des Formulars sonderlich weit her ist. Die Hosts rätseln, wie die Umsetzung derart schieflaufen konnte.

Weniger rätselhaft, aber auch sehr schwierig zu verhindern sind Tracking-Angriffe auf Signal und andere private Messenger. Deren automatische Empfangsbestätigungen erlauben nämlich Rückschlüsse auf die App-Nutzung und unter Umständen auch auf den Aufenthaltsort von Nutzern. Gleichzeitig erfüllen die Bestätigungsnachrichten mehrere sicherheitsrelevante Aufgaben, sodass man sie nicht einfach abschalten sollte. Die Hosts vollziehen eine interessante Diskussion in Signals GitHub-Repository nach, in der verschiedene Ideen vorgebracht und verworfen wurden.

Im weiteren Verlauf der Folge geht es – wenig verwunderlich – um Public-Key-Infrastruktur (PKI), aber diesmal nicht um die übliche WebPKI, sondern eine zum Signieren von Programmcode. Deren Zustand ist eher beklagenswert, unter anderem tritt immer wieder Malware mit validen Zertifikaten auf. Ein solides System zum Widerruf von Zertifikaten fehlt; treue Podcast-Hörer und -Hörerinnen erkennen hier möglicherweise ein Muster.

Muster erkennt auch Sylvester und zwar in Problemen von GnuPG, die auf dem 39. Chaos Communication Congress demonstriert wurden. Die waren nicht nur zahlreich, sondern förderten auch etliche bekannte Kritikpunkte zutage, von denen viele nicht nur GnuPG, sondern das PGP-System insgesamt betreffen. Besserung scheint kaum in Sicht, aber je nach Anwendungsfall gibt es zumindest Auswege und Alternativen. Trotz der ausufernden Folgenlänge kann Sylvester sich nicht verkneifen, einen technisch besonders ausgefuchsten Angriff nachzuerzählen. Christopher geht es ähnlich: Zum Abschluss berichtet er von Lücken im Automatisierungstool n8n, die sich geschickt zu einem gefährlichen Angriff kombinieren lassen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)