Die Woche in den Nachrichten über Verstöße

Nord-Amerika

Bridgestone

Der japanische Reifenhersteller Bridgestone hat bestätigt, dass er eine Cyberattacke untersucht, die den Betrieb in einigen seiner nordamerikanischen Produktionsstätten gestört hat.

Am Dienstag, dem 2. September 2025, tauchten Berichte über einen Cybersecurity-Zwischenfall auf, der zwei Produktionsstätten von BSA in Aiken County, South Carolina, betraf. Am Mittwoch hatte sich das Problem auf die kanadische Produktionsstätte von Bridgestone in Joliette, Quebec, ausgeweitet.

Das Unternehmen gab an, dass sein Schnellreaktionsteam den Angriff bereits in einem frühen Stadium eindämmen konnte und so den Diebstahl von Kundendaten oder eine schwerwiegendere Beeinträchtigung des Netzwerks verhindert hat. Bridgestone fügte hinzu, dass es zwar zu einigen Betriebsstörungen, darunter Verzögerungen in der Fertigung, gekommen sei, der Betrieb jedoch inzwischen wieder normal laufe.

Als Bridgestone gefragt wurde, ob es sich um Ransomware handelte, gab das Unternehmen keine Antwort, und bis zum Redaktionsschluss hatte keine Gruppe die Verantwortung für den Angriff übernommen.

Nord-Amerika

Navy Federal Credit Union

Sicherheitsforscher entdeckten einen ungesicherten und falsch konfigurierten Server der Navy Federal Credit Union (NFCU), auf dem 378 GB interne Dateien gespeichert waren. Der Fund umfasste Betriebsdaten aus Tableau, interne Benutzernamen, E-Mail-Adressen, Details user und möglicherweise gehashte Passwörter und Schlüssel.

Es wurden keine Kundendaten im Klartext gefunden, und auch die Daten der NFCU-Mitglieder scheinen nicht gefährdet zu sein. Die offengelegten Dateien bestanden größtenteils aus Tableau-Arbeitsmappen und anderen internen Dokumenten.

Die Forscher meldeten die Entdeckung an die NFCU, und die Datenbank wurde innerhalb weniger Stunden gesichert.

Vereinigtes Königreich

Jaguar Land Rover

Jaguar Land Rover (JLR) hat die Produktion an mehreren Standorten ausgesetzt, nachdem eine Cyberattacke in die internen IT-Systeme eingedrungen war. Die Unterbrechungen werden voraussichtlich bis in den Oktober hinein andauern. Tausende von Arbeitnehmern in den JLR-Werken Halewood, Solihull und Wolverhampton. wurden angewiesen, zu Hause zu bleiben, bis das Problem behoben ist, obwohl sie weiterhin bezahlt werden. Ähnliche Arbeitsniederlegungen betreffen die JLR-Werke in der Slowakei, Brasilien und Indien.

Händler und Werkstätten bleiben zwar geöffnet, aber auch Zulieferer wie WHS Plastics, Evtec, OPmobility und SurTec sind betroffen.

Ein Telegram-Kanal, der mit den Hackergruppen Scattered Spider, Lapsus$ und ShinyHunters in Verbindung gebracht wird, hat Screenshots gepostet, die offenbar die internen Systeme von JLR zeigen. Scattered Spider, das bereits mit Angriffen auf M&S, Co-op und Harrods in Verbindung gebracht wurde, steht im Verdacht, daran beteiligt zu sein.

Nord-Amerika

Salesloft Drift

Cloudflare, Zscaler und Palo Alto Networks bestätigten diese Woche, dass sie von einer Hacking-Kampagne betroffen waren, die die Integrationen von Salesloft Drift, einer mit Salesforce-Systemen verbundenen KI-Plattform, ausnutzte. Die Kampagne, die dem Bedrohungsakteur UNC6395 zugeschrieben wird, lief zwischen dem 8. und 18. August und könnte mehr als 700 Unternehmen betroffen haben.

Salesloft gab an, dass Angreifer gestohlene Zugangsdaten verwendet hätten, um Kundendaten über das im letzten Jahr erworbene Chatbot-Tool Drift zu exfiltrieren. Salesforce hat Salesloft vorsichtshalber vom Netz genommen, das Unternehmen gab jedoch an, keine Hinweise auf böswillige Aktivitäten innerhalb der Plattform selbst gefunden zu haben.

Cloudflare beschrieb den Vorfall als einen ausgeklügelten Angriff auf die Lieferkette von Business-to-Business-Integrationen. Das Unternehmen fand unter den gestohlenen Daten 104 API-Token, die alle inzwischen ausgetauscht wurden, und warnte, dass Kundeninformationen, die in support weitergegeben wurden, darunter Protokolle, Token oder Passwörter, als kompromittiert betrachtet werden sollten.

Google wies darauf hin, dass der Umfang der Kampagne über die Salesforce-Salesloft-Integration hinausgeht, und riet allen Salesloft Drift-Kunden, Authentifizierungs-Tokens als potenziell gefährdet zu betrachten.

Es wird davon ausgegangen, dass dieses Ereignis nichts mit dem aktuellen Salesforce-Exploit-Hack zu tun hat, von dem viele große Unternehmen betroffen sind.

Nord-Amerika

Lovesac

Der Möbelhändler Lovesac hat einen Datenverstoß bestätigt, nachdem am 30. Mai 2025 verdächtige Aktivitäten in seinem internen E-Mail-System festgestellt wurden. Eine Untersuchung ergab, dass ein unbefugter Akteur zwischen dem 27. und 30. Mai 2025 auf das E-Mail-Konto eines Mitarbeiters zugegriffen und sensible Daten in E-Mails und Anhängen, darunter Namen und Sozialversicherungsnummern, offengelegt hatte.

Die Ransomware-Gruppe RansomHub bekannte sich zu der Tat, gab an, 40 GB Unternehmensdaten gestohlen zu haben, und drohte, diese im Dark Web zu veröffentlichen. Lovesac begann am 4. September 2025, die betroffenen Personen per Post zu benachrichtigen, und meldete den Vorfall auch mehreren Generalstaatsanwälten. Das Unternehmen hat nicht bekannt gegeben, wie viele Personen betroffen sind, allerdings könnte es sich um Tausende handeln.

Nord-Amerika

Wealthsimple

Das in Toronto ansässige Onlinebanking- und Investmentunternehmen Wealthsimple hat einen Verstoß gegen die Cybersicherheit bekannt gegeben, der auf ein kompromittiertes Softwarepaket eines Drittanbieters zurückzuführen ist. Wealthsimple teilte mit, dass die Sicherheitsverletzung am 30. August 2025 entdeckt wurde. Durch den Vorfall wurden sensible Kundendaten offengelegt, darunter Sozialversicherungsnummern, Kontonummern, Kontaktinformationen, IP-Adressen und Geburtsdaten.

Weniger als 1 % der Wealthsimple-Kunden waren davon betroffen, die alle direkt benachrichtigt wurden. Das Unternehmen gab an, dass die Sicherheitsverletzung innerhalb weniger Stunden behoben wurde, dass kein Zugriff auf Gelder erfolgte, dass Passwörter nicht kompromittiert wurden und dass die Konten weiterhin sicher sind.

Wealthsimple hat weder den Namen des betroffenen Anbieters genannt noch weitere technische Details über das Eindringen mitgeteilt.