Plötzlich war er da, von Null auf Nummer 1 der Billboard Hot 100: der bis kurz davor unbekannte Baauer mit „Harlem Shake“. Das war vor fast 13 Jahren, im Februar 2013. Als Allererster ohne frühere Top-100-Platzierung noch wochenlange TV-Präsenz in „American Idol” schaffte Baauer es ganz an die Spitze. Denn damals flossen zum allerersten Mal Youtube-Abrufe von Musikstücken in die Billboard-Hitparade mit ein, was diese durcheinanderwirbelte. Diese Zusammenarbeit endet, weil Youtube seine Daten zurückhalten wird.

Nach dem 16.1.2026 verrät Youtube Billboard nicht mehr, welche Musikstücke wie oft abgerufen wurden. Hintergrund ist ein Disput über die unterschiedliche Gewichtung abgerufener Streams, die über ein Konto mit Bezahlabo abgerufen werden, und jener, die ausschließlich werbefinanziert laufen. Youtube besteht darauf, beide Streamvarianten gleich zu werten; ein Stream sei ein Stream, egal, wie er finanziert werde.

Schon vor 2013 bestimmten Verkäufe physischer Tonträger, bezahlte digitale Downloads (ab Februar 2005), Airplay terrestrischer Radiostationen, On-Demand Audio-Streaming bestimmter Abonnement-Dienste (ab August 2007) sowie Webradio in die Singles-Hitparade. Seit Februar 2013 ist auch Youtubes Statistik Teil der Formel, deren Details nicht öffentlich sind. Schon davor hatten die beiden Unternehmen zwei Jahre lang verhandelt.

2018 begann Billboard zwischen werbefinanzierten und abofinanzierten On-Demand-Streams zu unterscheiden. Letztere zählten dreifach. Seit Anfang 2020 fließen Streaming-Statistiken auch in die Album-Hitparade Billboard 200 mit ein, wobei ebenfalls ein Verhältnis von 3:1 gilt. 3.750 werbefinanzierte Videostreams, egal welchen auf einem Album enthaltenen Stückes, entsprechen 1 verkauften Album. 1.250 Streams reichen dann für eine rechnerische Verkaufseinheit, wenn sie von zahlenden Abonnenten abgerufen werden.

Neue Berechnung reicht Youtube nicht

Vergangene Woche hat Billboard angekündigt, die Hürden zu senken: Ab dem zweiten Tag des neuen Jahres entsprechen 1.000 Abonnement-Streams eines einzelnen Stücks 1 verkauften physischen Tonträger oder bezahlten Albumdownload. 2.500 Streams müssen es sein, wenn der Abrufende kein Bezahlabo hat.

Damit wird das Verhältnis von 3:1 auf 2,5:1 geändert. Das gilt auch für die Singles-Hitparade Billboard 100. Die ersten nach der neuen Methode berechneten Charts erscheinen am 17.1.2026 und erfassen Daten aus dem Zeitraum 2. bis 8.1.

Damit geht Billboard zwar einen Schritt auf Youtube zu, dessen Management reicht das aber nicht. Youtubes Musikchef Lyor Cohen spricht von einer „veralteten Formel” und meint: „Sie reflektiert nicht, wie Fans heute mit Musik interagieren, und ignoriert die massive Befassung mit Musik durch Fans ohne Abonnement.” Um diesen Standpunkt zu untermauern, ruft er den Datenstreik aus: „Nach 16.1.2016 werden unsere Daten nicht mehr an Billboard geliefert.”

(ds)

An sich ist Apples Gedanke nachvollziehbar, zwei Funktionen für einen schnellen App-Start zusammenzuführen.

So hat man alles an einem Ort und muss nur noch eine Suchmaske bedienen.

Ob Intensivnutzern des Launchpads die neue Apps-Ansicht oder weitere hier vorgestellte Bordmittel ausreichen, hängt jedoch stark davon ab, ob sie eher visuell arbeiten oder lieber per Tastatur. Wer sich nicht umgewöhnen möchte, kann zu einem der vielen Launchpad-Klone greifen. Diese besprechen wir in einem eigenen heise+-Artikel.

Das war die Leseprobe unseres heise-Plus-Artikels „Startklar ohne Launchpad: So geht’s ohne Apples Programmstarter in macOS 26“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Datenschutzbehörde bereitet rechtliche Schritte vor

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.

(mack)