Bei Substack konnten Kriminelle Daten von zahlreichen Nutzern abgreifen. Das Unternehmen hat den IT-Sicherheitsvorfall inzwischen eingeräumt.

Die Plattform Substack bietet Interessierten die Möglichkeit, journalistische Angebote, Blogs, Newsletter oder Podcasts anzubieten und gegebenenfalls als Abonnements zu monetarisieren. Der CEO Chris Best hat nun in einer Rundmail Kundinnen und Kunden angeschrieben und über den IT-Vorfall informiert. „Ich kontaktiere Sie, um Sie von einem Sicherheitsvorfall wissen zu lassen, der darin mündete, dass Ihre E-Mail-Adresse und Telefonnummer Ihres Substack-Kontos ohne Ihr Einverständnis geteilt wurde“, fängt die Mail von Best an.

IT-Vorfall Anfang Februar

Demnach hat Substack am 3. Februar 2026 Belege für ein Problem mit den IT-Systemen gefunden, das nicht autorisierten Dritten einen begrenzten Zugriff auf Nutzerdaten ermöglichte. Davon betroffen sind E-Mail-Adressen, Telefonnummern und andere interne Metadaten; auf Kreditkartennummern, Passwörter und Finanzinformationen wurde dabei nicht zugegriffen.

„Wir haben das Problem mit unseren Systemen gelöst, das ermöglichte, dass dies passiert. Wir führen eine vollständige Untersuchung durch und ergreifen Maßnahmen, die Prozesse und Systeme zu verbessern, damit diese Art von Problem künftig nicht noch einmal passiert“, führt Best weiter aus. „Wir haben keine Hinweise darauf, dass diese Informationen missbraucht werden, aber wir empfehlen Ihnen, bei E-Mails oder Textnachrichten, die Ihnen verdächtig erscheinen, besondere Vorsicht walten zu lassen.“ Best schließt mit den Worten: „Das ist wirklich ärgerlich. Es tut mir leid. Wir werden hart daran arbeiten, dass so etwas nicht noch einmal passiert.“

Der Datensatz kursiert bereits im digitalen Untergrund. Die Datei ist 697.293 Zeilen lang und die Daten erwecken den Anschein, durch Scraping erlangt worden zu sein. Dabei lesen Täter Informationen massenhaft aus, die in einzelnen Konten in der Regel öffentlich einsehbar sind, und erstellen daraus eine große Datenbank. Diese können bösartige Akteure dann etwa für gezielteres und authentischer wirkendes Phishing missbrauchen, da sie mit der Information arbeiten können, dass die gelisteten Opfer einen Substack-Zugang besitzen.

Der Datensatz dürfte in Kürze auch bei Troy Hunts Have-I-Been-Pwned-Projekt zugänglich und damit durchsuchbar werden. Substack hatte vor rund zwei Jahren für Aufsehen gesorgt, da das Unternehmen Nazi-Beiträge nicht löschen wollte. Kurz nachdem das höhere Wellen schlug, lenkte Substack schließlich ein – zumindest ein wenig.

(dmk)

Setzen Angreifer erfolgreich an Sicherheitslücken in BIG-IP-Appliances wie Advanced WAF/ASM oder APM an, können sie Abstürze auslösen oder eigentlich geschützte Daten einsehen. Dagegen stehen abgesicherte Versionen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

Abstürze und Datenlecks

Am gefährlichsten gilt eine Schwachstelle (CVE-2026-22548 „hoch“) in BIG-IP Advanced WAF/ASM. Wie aus einer Warnmeldung hervorgeht, sollen DoS-Attacken aus der Ferne ohne Authentifizierung möglich sein. Dabei stürzt der bd-Prozess ab, was zu einer Unterbrechung des Netzwerkverkehrs führt. Wie ein derartiger Angriff im Detail ablaufen könnte, führen die Entwickler derzeit nicht aus. Dagegen ist die Version 17.1.3 gerüstet.

Die verbleibenden Lücken sind größtenteils mit dem Bedrohungsgrad „niedrig“ eingestuft. Nach erfolgreichen Attacken können Angreifer etwa im Kontext von BIG-IP APM und APM Clients auf eigentlich abgeschottete sensible Daten zugreifen (CVE-2026-20730). Weitere Informationen zu den Schwachstellen und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.

(des)

In TeamViewer wurde eine Sicherheitslücke entdeckt, die angemeldeten Angreifern Zugriffe auf Ressourcen erlaubt, bevor diese Berechtigung lokal bestätigt wurde. Aktualisierte Software-Pakete stehen bereit, um die Schwachstelle zu beheben. IT-Verantwortliche, die TeamViewer einsetzen, sollten zügig updaten.

TeamViewer warnt in einer Sicherheitsmitteilung vor der Schwachstelle. „Unzureichende Zugriffskontrollen in TeamViewer Full und Host Clients für Linux, macOS und Windows ermöglichen angemeldeten Nutzern, zusätzliche Zugriffskontrollen durch ‚Allow after confirmation‘ (nach Bestätigung erlauben) in einer Fernwartungssitzung zu umgehen. Bei erfolgreichem Missbrauch kann nicht autorisierter Zugriff vor lokaler Bestätigung erfolgen“, erklärt TeamViewer (CVE-2026-23572, CVSS 7.2, Risiko „hoch“).

Betroffen davon sind TeamViewer Full für Linux, macOS und Windows sowie TeamViewer Host für Linux, macOS und Windows vor der aktuellen Version 15.74.5. Das Update auf diese oder neuere Versionen schließt die Sicherheitslücke laut TeamViewer. Bislang sind laut TeamViewer Angriffe auf die Schwachstelle nicht bekannt.

Temporäre Gegenmaßnahme

Zudem gibt TeamViewer an, dass Admins sich behelfen können, indem sie die Option „Control this computer – Allow after Confirmation“ aktivieren. Diese finden sie in den Einstellungen unter „Erweiterte Optionen“ – „Erweiterte Optionen für Verbindungen zu diesem Computer“ oder mittels Richtlinie „Zugriffskontrolle (eingehende Verbindungen)“ setzen. Das weckt Zweifel, da schließlich die Sicherheitslücke darin besteht, dass angemeldete Angreifer diese Zugriffskontrolle umgehen können.

Mitte Dezember wurden Sicherheitslücken in der PC-Verwaltungssoftware TeamViewer DEX bekannt. Mehrere Sicherheitsprobleme betrafen die Software-as-a-Service-Version und On-Premises-Installationen gleichermaßen. Die Schwachstellen erlaubten das Ausführen von eingeschleusten Befehlen und von Schadcode sowie Zugriffe auf geschützte Informationen.

(dmk)