Aktuelle Vorfälle von Sicherheitslücken, CVE-Informationen und Branchentrends.
Zuletzt aktualisiert:
Nachrichten laden...
Wiz Research entdeckte, dass die ClickHouse-Datenbank von DeepSeek auf zwei Subdomains ohne Authentifizierung öffentlich zugänglich war. Über 1 Million Protokolleinträge enthielten Chatverläufe im Klartext, geheime API-Schlüssel und Backend-Betriebsmetadaten. Angreifer konnten Passwörter und lokale Dateien direkt vom Server stehlen. Nach der Aufdeckung des Vorfalls sicherte DeepSeek sofort die Datenbank. Am 27. Januar hatte es außerdem einen groß angelegten DDoS-Angriff auf die API und die Web-Chat-Schnittstelle gegeben.
Quelle: Wiz Blog
Ein Angreifer registrierte ein gefälschtes Partnerkonto auf dem Partnerportal von Dell und verschaffte sich innerhalb von 48 Stunden Zugang. Die API des Portals verfügte über keine Berechtigungsprüfungen oder Ratenbegrenzungen. Über drei Wochen hinweg sendete der Angreifer etwa 5.000 Anfragen pro Minute und stahl 49 Millionen Datensätze mit Namen, Adressen, Service-Tags und Bestellinformationen. Die Daten wurden in einem Hackerforum verkauft.
Quelle: BleepingComputer
Ein Angreifer nutzte die ungeschützte REST-API von Trello aus, die unauthentifizierte Abfragen nach E-Mail-Adressen ermöglichte. Durch die Übermittlung von E-Mail-Adressen aus zuvor geknackten Datenbanken konnte der Angreifer über 15 Millionen Benutzerprofile (E-Mails, vollständige Namen, Benutzernamen, Vorstandsinformationen) auslesen und in einem Hackerforum veröffentlichen. Atlassian schränkte daraufhin den Endpunkt ein.
Quelle: BleepingComputer
Ein Mitarbeiter des U.S. Department of Government Efficiency (DOGE) stellte ein Skript (agent.py) mit dem privaten API-Schlüssel von xAI in ein öffentliches GitHub-Repository ein. Der Schlüssel ermöglichte den uneingeschränkten Zugriff auf über 52 LLM-Modelle, darunter "grok 4-0709", das erst vier Tage zuvor erstellt worden war. GitGuardian entdeckte das Leck, aber der Schlüssel wurde nicht sofort widerrufen. Ein ähnliches Leck war bereits im Mai 2025 aufgetreten.
Quelle: Krebs über Sicherheit
Eine Server-Side Request Forgery (SSRF) Schwachstelle in der pictureproxy.php Komponente von ChatGPT. Ein unauthentifizierter Angreifer kann durch Einschleusen von manipulierten URLs den Server zwingen, nicht autorisierte interne Anfragen auszuführen. Über 10.000 Angriffsversuche wurden von einer einzigen IP-Adresse aus aufgezeichnet, wobei 33 % der Ziele US-amerikanische Organisationen waren (Finanz-, Regierungs- und Gesundheitssektor). Die Schwachstelle ist besonders gefährlich, weil sie in großem Umfang ohne Authentifizierung ausgenutzt werden kann.
Quelle: SecurityWeek
CVE-2024-27564 ist ein Lehrbuchbeispiel für OWASP API7 (SSRF). APIs, die URL-Eingaben von externen Quellen akzeptieren, erfordern eine strenge Validierung, um den Zugriff auf interne Netzwerke zu verhindern. Siehe OWASP Top 10 → API7.
Laut dem API ThreatStats-Bericht 2025 von Wallarm wurden im Jahr 2024 439 KI-bezogene CVEs erfasst, was einem Anstieg von 1.025 % gegenüber dem Vorjahr entspricht. Über 50 % der KEV-Katalogeinträge (Known Exploited Vulnerabilities) der CISA sind API-bezogen. Fehler bei der Zugriffskontrolle nahmen insgesamt um 40 % zu, und kritische Autorisierungsfehler stiegen um 36 %.
Wallarm 2025Laut dem Bericht Q1 2025 von Salt Security hatten 99 % der befragten Unternehmen in den letzten 12 Monaten mindestens ein API-Sicherheitsproblem. Die Hauptrisiken waren Injektionsangriffe und BOLA (Broken Object Level Authorization), die mehr als ein Drittel aller Vorfälle ausmachten. 95 % der API-Angriffe gingen von authentifizierten Sitzungen aus.
Salt Security Q1 2025Sicherheitsforscher entdeckten 30.000 Postman-Workspaces, die ohne Sicherheitskontrollen öffentlich zugänglich waren. Sie enthielten aktive API-Schlüssel, Zugriffstoken und sensible Nutzdaten, von denen viele direkten Zugriff auf Produktionsumgebungen ermöglichten. Dieser Fall verdeutlicht das Risiko von "Schatten-API"-Anmeldeinformationen in Tools für die Zusammenarbeit von Entwicklern.
Wallarm 2025Schwachstellen in KI-basierten APIs wie ChatGPT und DeepSeek häufen sich. Prompt Injection, SSRF und Datenexposition sind die Hauptbedrohungen. Die Sicherheitsmaßnahmen halten nicht mit der schnellen Einführung von KI Schritt.
BOLA (Broken Object Level Authorization) ist nach wie vor die am weitesten verbreitete Sicherheitslücke. Wie in den Fällen von Dell und Trello zu sehen war, führt das Fehlen grundlegender Berechtigungsprüfungen zu groß angelegten Datenverletzungen.
95 % der Angriffe erfolgen, nachdem die Authentifizierung bestanden wurde. Angreifer mit legitimen Zugangstokens nutzen Schwachstellen in der Autorisierung aus, um sich seitlich zu bewegen, so dass dies die dominierende Angriffstechnik ist.
Das Entweichen von API-Schlüsseln aus Entwickler-Tools wie GitHub und Postman ist zu einem kritischen Problem geworden. Die Einführung automatischer Erkennungstools (z. B. GitGuardian) und rigoroser Praktiken zur Verwaltung von Geheimnissen sind unerlässlich.
Die Informationen auf dieser Seite beruhen auf öffentlich verfügbaren Daten aus dem Jahr 2025. Bitte prüfen Sie die oben genannten Links auf die neuesten Informationen über die Gefährdung.