Für die Einreise nach Großbritannien ist seit dem vergangenen Frühling oftmals eine Einreisegenehmigung namens „ETA“ (Electronic Travel Authorisation) nötig. Neben der offiziellen Webseite gov.uk/eta sind inzwischen zahlreiche Glücksritter mit eigenen Antragsseiten und deutlich überzogenen Preisen online gegangen. Eine dieser Seiten hat nun hunderttausende Dokumente von Antragstellern offen im Netz gelagert.

Darüber berichtet TechCrunch. Demnach seien mindestens 100.000 Dokumente in einem Amazon-Cloudspeicher (Bucket) zugreifbar gewesen, von Antragstellern, die etwa ihren Ausweis und Selfies im Rahmen des Antragsstellungsprozesses hochgeladen haben. Der Name der betroffenen Webseite lautet demnach „UK Visa Portal“. In der Nacht zum Mittwoch wurden die Daten abgesichert, jetzt sind sie nicht mehr einfach zugreifbar.

Das Amazon-Bucket hatte hochgeladene Daten nicht direkt aufgelistet, die Daten waren nur zugreifbar, wenn die Adresse bekannt war. Die hat jedoch das Backend hinter der „UK Visa Portal“-Webseite offenbar preisgegeben, sodass ein Zugriff möglich war. Die Seite ist dem Bericht zufolge auch unter „UK Visit“ und „ETA-Pass“ erreichbar. Eine Stichprobe von TechCrunch bestätigte die Echtheit der Daten, das Medium hat einige betroffene Individuen kontaktiert.

Möglicher Identitätsdiebstahl

Mit den Ausweiskopien können Angreifer etwa Identitätsdiebstahl begehen. Die weiteren Daten erleichtern zudem echter wirkendes Phishing. Wer diese Webseiten zum Einreichen des ETA-Antrags genutzt hat, sollte daher künftig besondere Vorsicht walten lassen.

Diese Webseiten waren bereits Grund zur Warnung, etwa durch das LKA Niedersachsen oder Verbraucherzentralen. Diese Webseiten sind im Regelfall mindestens überteuert und verlangen ein Vielfaches der eigentlichen Gebühren. Das LKA warnte auch vor betrügerischen Webseiten.

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA hat eine Warnung vor den kürzlich entdeckten Supply-Chain-Angriffen auf mehrere Produkte veröffentlicht. IT-Verantwortliche sollten das zum Anlass nehmen, zu prüfen, ob sie unwissentlich mit Malware verseuchte Pakete einsetzen.

Insgesamt warnt die CISA vor drei Vorfällen. An erster Stelle stehen die Daemon Tools, die zwischen dem 8. April und 5. Mai 2026 mit Malware infizierte Installer von Daemon Tools Lite ausgeliefert haben. Die Version 12.6 und neuere der Daemon Tools Lite enthalten keinen Schadcode mehr, versichert der Anbieter. Der Vorfall hat einen CVE-Schwachstelleneintrag erhalten (CVE-2026-8398, CVSS 9.8, Risiko „kritisch“). Ungewöhnlich ist die Dringlichkeit, die die CISA zum Fixen vorgibt: Statt der üblichen zwei Wochen haben US-amerikanische Behörden lediglich bis zum 30. Mai Zeit, die bereinigte Software zu verteilen.

Ein weiterer Lieferkettenangriff erfolgte auf TanStack. Dabei haben die bösartigen Akteure 42 Pakete kompromittiert, mit 84 kompromittierten Versionen. Nach nur 20 Minuten sind die infizierten Pakete aufgeflogen (der CVE-Eintrag spricht gar nur von 6 Minuten am 11. Mai 2026, von 19:20 bis 19:26 Uhr UTC) und seitdem als „deprecated“ markiert, es ist jedoch unklar, wie oft sie installiert wurden. Betroffene sollten ihre Zugangsdaten auf jeden Fall erneuern. Der zugehörige CVE-Schwachstelleneintrag hat die Nummer CVE-2026-45321 erhalten (CVSS 9.8, Risiko „kritisch“).

Dritte Supply-Chain-Attacke

Auch das Entwickler-Tool Nx Console wurde im Mai 2026 Opfer eines Supply-Chain-Angriffs. Die Version 18.95.0 war betroffen, zwischen 12:30 und 13:09 Uhr UTC stand kompromittierte Software zum Download bereit. Das Problem ging offenbar von einer vereinzelten Entwickler-Maschine aus, die eine Woche zuvor ein manipuliertes TanStack-Paket gezogen und dann eingebaut hat. Ein Postmortem-Bericht der Nx-Console-Maintainer geht in die Details. Der Schwachstelleneintrag lautet CVE-2026-48027 (CVSS 9.8, Risiko „kritisch“).

Der letzte Vorfall zeigt, dass eine Kompromittierung durch die Lieferkette rasch und zunächst unbemerkt erfolgen kann. Entwickler sollten gegebenenfalls die eingesetzten Pakete einmal prüfen, ob dort bekannt kompromittierte Pakete hereingerutscht sind.

(dmk)

Microsoft will die Speichersicherheit in C# verbessern. Dazu überarbeitet das .NET-Team das bisherige unsafe-Modell mit dem Ziel, unsichere Operationen sichtbarer und überprüfbarer zu machen, was Speicherfehlern und damit auch Sicherheitslücken vorbeugen soll. Live gehen sollen die Änderungen mit C# 16, das voraussichtlich Ende 2027 erscheint.

KI-Coding begünstigt Speicherfehler

Das bisherige unsafe-Modell ist so alt wie das 2002 erschienene C# 1.0. Änderungsbedarf bestehe nun aber unter anderem wegen der hohen Geschwindigkeit KI-gestützter Softwareproduktion, denn die skaliere schneller als die menschliche Überprüfung, was zu mehr Speicherfehlern führen könne. Das schreibt .NET-Produktmanager Richard Lander in einem ausführlichen Blogpost.

Da viele Sicherheitslücken auf Speicherfehler zurückgehen, empfehlen internationale Sicherheitsbehörden schon seit Längerem, speichersichere Programmiersprachen in der kommerziellen Softwareentwicklung zu nutzen, wobei auch Rust explizit genannt wird.

Kein Versteckspiel mehr

Unsicheren Code blockiert C# bereits standardmäßig, doch das neue Sicherheitsmodell soll einen deutlich größeren Bereich abdecken. Dafür hat sich das .NET-Team von Rust inspirieren lassen und will Rusts Konzept der Sichtbarkeit und Weitergabe von Unsicherheit sowie dessen Syntax für C# übernehmen.

Das neu definierte Schlüsselwort unsafe greift künftig auf Member-Ebene statt auf Typ-Ebene, also dort, wo ein konkreter unsicherer Speicherzugriff stattfindet, etwa in einer bestimmten Methode oder Eigenschaft.

Des Weiteren gelten Pointer‑Typen nicht mehr automatisch als unsicher, sondern erst dann, wenn sie auf den Speicherinhalt zugreifen. Das soll verhindern, dass Sicherheitsregeln und ‑annahmen versteckt oder stillschweigend vorausgesetzt werden. Nun sollen sie für Entwicklerinnen und Entwickler klarer erkennbar und nachprüfbar sein, so Richard Lander.

Für .NET 11 und C# 15 plant Microsoft eine Opt-in-Vorschau des neuen unsafe-Modells. Die endgültige Version soll vermutlich Ende 2027 mit C# 16 und .NET 12 kommen. Um die Nutzung des neuen Sicherheitsmodells zu fördern, könnte es auf NuGet.org, dem Paket-Repository für .NET, künftig spezielle Badges für entsprechende Bibliotheken von Package‑Maintainern geben.

(mro)