Polymarket bestätigte am Donnerstag, dass ein kompromittierter Drittanbieter für einige Nutzer Schadcode in die Website eingeschleust habe. Der Vorfall sei eingedämmt und die betroffene Komponente entfernt worden. Betroffene Nutzer würden kontaktiert und vollständig entschädigt, schreibt das Unternehmen auf X.

Weitere Details nannte Polymarket zunächst nicht. Unklar bleibt, welcher Dienstleister kompromittiert wurde, wie der Angriff im Einzelnen ablief, wie viele Nutzer betroffen waren und wie hoch der Schaden ist. Gegenüber TechCrunch bestätigte ein Polymarket-Sprecher lediglich, dass bei dem Vorfall Geld von Nutzern gestohlen wurde.

Die Blockchain-Sicherheitsfirma PeckShield meldete auf X, dass es sich offenbar um eine Phishing-Kampagne gegen Polymarket-Nutzer handelt. Dabei sollen Kryptowerte im Wert von rund 3 Millionen US-Dollar gestohlen worden sein, konkret PUSD. PUSD ist der an den US-Dollar gekoppelte interne Dollar-Token, mit dem Polymarket Wetten abrechnet. Der Angreifer habe die gestohlenen Werte über eine Bridge vom Polygon-Netzwerk ins Ethereum-Netzwerk verschoben und dort in Ether getauscht.

Prognosemärkte: Zwischen Boom und Kritik

Polymarket war erst wenige Tage zuvor wegen mutmaßlich manipulativer Influencer-Werbung in die Kritik geraten. Laut Wall Street Journal soll das Unternehmen Influencer für Videos bezahlt haben, in denen angebliche Wetten und Gewinne gezeigt wurden, die tatsächlich auf nachgebauten Seiten oder internen Testumgebungen entstanden.

Prognosemärkte wie Polymarket und Kalshi verzeichnen starkes Wachstum, sind rechtlich und politisch aber stark umstritten. In den USA laufen derzeit mehr als 30 Verfahren zur Zulässigkeit solcher Plattformen. Kritiker befürchten, dass Prognosemärkte Grenzen verschieben: Informationen aus erster Hand könnten zu Wettvorteilen werden, Krisen und Unglücke zu Anlageobjekten. Besonders problematisch wäre es, wenn finanzielle Interessen nicht nur auf den Ausgang eines Ereignisses setzen, sondern diesen selbst beeinflussen.

Trotzdem wächst der Markt inzwischen so stark, dass er neue Wettbewerber auf den Plan ruft: So soll Meta Berichten zufolge an einer Prognoseplattform namens „Arena“ arbeiten, bei der wohl aus rechtlichen Bedenken zunächst Spielgeld statt Echtgeld eingesetzt würde.

(tobe)

Wenn Admins in Cloud-Infrastrukturen oder Rechenzentren Router und Switches mit Arista EOS nutzen, können Angreifer an mehreren Schwachstellen ansetzen. Stimmen die Voraussetzungen, sind Systeme kompromittierbar. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Mehrere Gefahren

In einer Warnmeldung finden sich unter anderem Informationen zu einer „kritischen“ Lücke (CVE-2026-11705). Daran können Angreifer aber nur ansetzen, wenn im Kontext von Streaming Telemetry Agent die TerminAttrRW-Option aktiv ist. Den Entwicklern zufolge ist das aber keine Standardeinstellung, sodass Geräte nicht per se angreifbar sind.

Ist die Voraussetzung erfüllt, können Angreifer durch das Versenden von präparierten Paketen Fehler auslösen und danach Systemdaten modifizieren. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Geräte danach als kompromittiert gelten.

Bislang ist dagegen nur die EOS-Version 4.36.1F erschienen. Für ältere Ausgaben sind bislang nur Fixes verfügbar, die Arista in der Warnmeldung auflistet. Weitere Sicherheitspatches sollen folgen. Um Netzwerke vor solchen Attacken zu schützen, können Admins den Streaming-Telemetry-Agenten (TerminAttr) deaktivieren.

Durch das erfolgreiche Ausnutzen weiterer Lücken werden etwa manipulierte Zertifikate akzeptiert (CVE-2026-52896 „hoch“) oder Angreifer können Zugangsdaten einsehen (CVE-202652895 „mittel“).

In einer weiteren Warnmeldung führen die Entwickler noch eine Lücke (CVE-2026-12546 „mittel“) auf. Darüber ist die Authentifizierung umgehbar. In den verlinkten Warnmeldungen finden Admins weiterführende Hinweise zu den Schwachstellen und konkret bedrohten EOS-Versionen.

(des)

In Episode 162 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Prof. Tobias Keber, dem Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI) in Baden-Württemberg und aktuellen Vorsitzenden der Datenschutzkonferenz (DSK).

Zum Einstieg sprechen die drei über ein Bußgeld von 100.000 Euro gegen eine kroatische Immobilienagentur. Neben unzulässig lange gespeicherten Unterlagen beanstandete die Behörde unzureichende Datenschutzschulungen. Keber betont, dass Datenschutz nur wirksam sei, wenn Beschäftigte praxisnah und regelmäßig geschult würden. Ein reines „Wegklicken“ von Online-Folien reiche nicht aus.

Unverständliche Forderungen

Zentrales Thema des Gesprächs ist der Schock über die Pläne der neuen baden-württembergischen Landesregierung, der Datenschutzbehörde 40 Prozent der Stellen zu streichen. Keber kritisiert dieses Vorhaben deutlich. Es passe nicht zusammen, dass der Staat und auch das Bundesland gleichzeitig polizeiliche Überwachungsbefugnisse und den Einsatz von Künstlicher Intelligenz massiv ausbaue, die Kontrollinstanzen im Gegenzug aber derart schwächen wolle.

Zusätzlich belaste eine enorme Beschwerdeflut die Behörde. Die Zahl der Eingaben stieg zuletzt um fast 90 Prozent auf über 7600 Fälle an. Keber führt dies vor allem auf KI-generierte Texte zurück. Da die Behörde jede Beschwerde zwingend bearbeiten muss, binde dies wertvolle Ressourcen, die an anderer Stelle – etwa bei der wichtigen Beratung von Unternehmen – schmerzlich fehlen.

DSK-Impulse

Als Gegenentwurf zu Zentralisierungsbestrebungen haben die Landesdatenschutzbehörden auf der 111. Datenschutzkonferenz in Stuttgart einstimmig „Stuttgarter Impulse“ verabschiedet. Die Bundesbeauftragte war nicht an Bord, weil sie hier andere Interessen verfolgt. Die Vorschläge reichen von einer gesetzlichen Verankerung der Datenschutzkonferenz über eine professionelle Geschäftsstelle bis zu verbindlichen Mehrheitsentscheidungen.

Geplant sind außerdem ein zentrales digitales Portal für Bürgeranfragen nach dem Prinzip „No Wrong Door“, eine gemeinsame Entscheidungsdatenbank und das „Einer-für-alle-Prinzip“, bei dem die Prüfung einer Behörde bundesweit gilt. Auch die beliebten Kurzpapiere sollen wiederbelebt werden, wie Keber im Gespräch verriet.

Episode 162:

Hier geht es zu allen bisherigen Folgen:

(hob)