Ein unerlaubter Zugriff auf die Daten der börsennotierten Fitnesskette Basic-Fit betrifft Mitglieder in mehreren Ländern, davon allein 200.000 aus den Niederlanden. Er wurde kurz nach seiner Entdeckung am heutigen 13. April vom Sicherheitsteam des Fitness-Unternehmens gestoppt und den zuständigen Behörden gemeldet.

Durch das Datenleck gelangten personenbezogene Daten wie E-Mail-Adresse, Name und Mitgliederinformationen in fremde Hände. Zu Passwörtern und Ausweisdokumenten hatten die Unbefugten laut dem Unternehmen keinen Zugang.

Basic-Fit informierte nach eigenen Angaben die betroffenen Kunden per E-Mail und versichert, dass bisher kein Datenmissbrauch nachgewiesen werden kann. Die Fitnesskette rät ihren Mitgliedern jedoch, besonders achtsam bei Phishing-Versuchen zu sein. Sie hat zudem eine eigene FAQ-Seite erstellt, in der sich die Kunden über das Datenleck informieren können.

Basic-Fit betreibt laut eigenen Angaben 2150 Fitnessstudios in zwölf europäischen Ländern. Sie zählt knapp sechs Millionen Mitglieder.

Was können Hacker mit gestohlenen Daten machen?

Sie können sich beispielsweise in einem Phishing-Angriff mit gefälschten E-Mails als Basic-Fit ausgeben und vermeintlich nicht bezahlte Mitgliedsbeiträge oder andere Informationen einfordern. Bei Phishing-Verdacht ist es wichtig, nicht darauf einzugehen und auf keine Links zu klicken.

Fitnessapps und -studios sind häufig von Datenlecks betroffen. So gab es eine massive Datenpanne beim Sportanbieter „Urban Sports Club“, in der tausende sensible Dateien auf einem öffentlich zugänglichen Cloudspeicher lagen. Bei der Ernährungs-App „MyFitnessPal“ brachten Hacker 150 Millionen Nutzerdaten an sich.

(mho)

Sicherheitsforscher vom MDM-Spezialisten Jamf haben eine neue Variante der sogenannten ClickFix-Angriffstechnik entdeckt, bei der Nutzer dazu bewegt werden, Kommandos auf ihrem Mac auszuführen, die dann Malware installieren. Die neue Verteilmethode des bekannten Datenklauschädlings Atomic Stealer scheint darauf optimiert zu sein, einen neuen Schutz im macOS-Terminal zu umgehen, den Apple mit macOS 26.4 eingeführt hatte. Dieser soll dafür sorgen, dass problematischer Code nicht mehr so leicht ausgeführt werden kann.

Wie Jamf Threat Labs in einer Analyse schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. Ein „Execute“-Button auf der Seite ruft dabei das applescript://-URL-Schema auf. Der Browser fordert daraufhin vom Nutzer die Erlaubnis, Script Editor zu öffnen – eine Aktion, die das Opfer womöglich arglos bestätigt.

Vom URL-Schema zum Datenklauer

Das eigentlich neue an der Methode liegt in der Nutzung des applescript://-URL-Schemas: Beim Aufruf startet Script Editor mit einem von der Website übergebenen, bösartigen AppleScript. Dieses Script führt nach der Ausführung durch den Nutzer eine verschleierte Befehlskette aus. Zunächst wird per curl-Kommando eine Payload von einem externen Server geladen, die nach Dekodierung anschließend an zsh übergeben wird. Eine zweite Stufe dekodiert per Base64 und gunzip weiteren Code, der schließlich die eigentliche Malware – ein Mach-O-Binary des Atomic Stealers – nach /tmp herunterlädt, erweiterte Attribute zum Ausführungsschutz entfernt und die Datei startbar macht.

Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt. Um die Malware aktiv zu schalten, muss der User allerdings noch den Abspielknopf (Play) in Script Editor klicken. Dass er das tun soll, wird auf der nachgeahmten Apple-Seite so mitgeteilt.

Was Atomic Stealer abgreift

Atomic Stealer ist ein schon seit 2023 aktiver Infostealer, der unter anderem über Telegram an Kriminelle vermarktet wird. Die Malware stiehlt unter anderem Keychain-Passwörter, Browser-Daten wie Autofill-Einträge, Cookies und Kreditkartennummern sowie Krypto-Wallets. Auch Dateien vom Desktop und aus dem Dokumentenordner können exfiltriert werden.

Neu ist die Verwendung von Script Editor zur Malware-Verbreitung eigentlich nicht, doch die Verbreitung via applescript://-Links ist neu. Nutzer sollten das Aufrufen des Script Editors über eine Website keinesfalls bestätigen. Apple hat bislang noch nicht auf die neue Methode reagiert. Es dürfte relativ leicht sein, diese zu verhindern.

(bsc)

Derzeit haben es Angreifer auf das Phyton-Notebook Marimo abgesehen und nutzen eine Sicherheitslücke zum Ausführen von Schadcode aus.

Marimo ist eine integrierte Arbeitsumgebung für Python, in der Code, Ergebnisse, Visualisierungen und Dokumentation kombiniert werden.

Sicherheitslücke schließen

Wie aus einer Warnmeldung hervorgeht, ist die Authentifizierung im Kontext des WebSocket-Endpoints /terminal/ws kaputt und Angreifer können ohne Anmeldung an der „kritischen“ Schwachstelle (CVE-2026-39987) ansetzen.

Im Anschluss greifen sie mit weitreichenden Rechten auf eine Shell zu und können eigene Befehle ausführen. Aufgrund der Einstufung des Schweregrads ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. In welchem Umfang die Attacken ablaufen und auf welche Ziele es die bislang unbekannten Angreifer abgesehen haben, ist zurzeit unklar.

Auf die Attacken sind Sicherheitsforscher von Sysdig gestoßen. In einem Bericht führen sie aus, dass sie zwölf Stunden nach Bekanntwerden der Lücke Angriffsaktivitäten von 125 IP-Adressen ausgehend beobachtet haben. Sie geben an, dass Angreifer sich nach erfolgreichen Zugriffen Zugangsdaten wie SSH-Schlüssel verschaffen und sich damit ausgerüstet weiter in Netzwerken ausbreiten. Demzufolge sollten Marimo-Nutzer aus Sicherheitsgründen ihre Zugangsdaten für Datenbanken und API-Schlüssel ändern, um den Angreifern den Zugriff zu entziehen.

Die Entwickler versichern, die Lücke in Marimo 0.23.0 geschlossen zu haben. Aktuell ist derzeit die Ausgabe 0.23.1. Wer das Sicherheitsupdate nicht umgehend installieren kann, muss den Zugriff auf /terminal/ws reglementieren oder die Funktion temporär deaktivieren.

(des)