Cyberangriffe treffen Booking.com, Basic-Fit und OpenAI

Booking.com und Basic-Fit melden massive Datenlecks, während eine Schwachstelle in einer weit verbreiteten Software-Bibliothek auch OpenAI trifft. Die koordinierten Angriffe Mitte April 2026 zeigen die wachsende Gefahr für vernetzte digitale Ökosysteme.

Reise- und Fitnessdaten im Visier

Das Reiseportal Booking.com bestätigte einen schweren Sicherheitsvorfall. Unbefugte erlangten Zugriff auf sensible Kundendaten wie Namen, Adressen und Buchungsdetails. Finanzinformationen seien laut Unternehmen nicht betroffen. Die gestohlenen Daten werden bereits für hochprofessionelle Phishing-Angriffe über WhatsApp genutzt, die in einem Fall bereits zu einem finanziellen Verlust führten. Für Booking.com ist es nicht der erste Vorfall dieser Art: 2021 verhängte die niederländische Datenschutzbehörde eine Geldstrafe von 475.000 Euro nach einem ähnlichen Datenleck.

Millionen Deutsche nutzen täglich Online-Banking und Messenger wie WhatsApp auf ihrem Smartphone – doch ohne die richtigen Sicherheitsvorkehrungen riskieren Sie bei Datenlecks massiven Datenmissbrauch. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Gerät effektiv vor Hackern und Viren zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Parallel meldete die Fitnesskette Basic-Fit einen Cyberangriff mit rund einer Million betroffener Mitglieder in mehreren europäischen Ländern. Hier wurden neben persönlichen Daten auch Bankverbindungen entwendet. Das Unternehmen stoppte den Angriff zwar binnen Minuten – das Ausmaß unterstreicht jedoch die Gefahr für Anbieter mit großen Nutzerdatenbanken.

Lieferkette als Achillesferse

Ein kritischer Angriffsvektor sind inzwischen Software-Bibliotheken, die weltweit in unzähligen Apps stecken. Ende März 2026 entdeckten Sicherheitsforscher eine kritische Lücke (CVE-2026-40175) in der JavaScript-Bibliothek Axios. Diese ermöglichte den Diebstahl von Cloud-Metadaten.

Die Schwachstelle hatte auch Folgen für OpenAI. Das Unternehmen gab bekannt, dass interne Abläufe eine kompromittierte Version von Axios heruntergeladen hatten. Angreifer, die mit nordkoreanischen Gruppierungen in Verbindung gebracht werden, erlangten so Zugriff auf Code-Signing-Zertifikate für ChatGPT-Desktop-Apps. OpenAI widerrief die betroffenen Zertifikate. Ein Abfluss von Nutzerdaten liege nicht vor.

Da Hacker immer raffiniertere Wege über bekannte Apps und Bibliotheken finden, um an Ihre Daten zu gelangen, ist ein aktuelles System Ihre erste Verteidigungslinie. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken durch richtige Updates schließen und Ihr Android-Gerät dauerhaft absichern. Kostenlosen Update-Ratgeber jetzt herunterladen

Auch Alltags-Apps werden missbraucht: Eine als REF6598 bekannte Kampagne nutzt die Notiz-App Obsidian. Angreifer schleusen über manipulierte Cloud-Vaults Schadcode ein, der gezielt den Finanzsektor angreift.

Smartphone-Markt wächst trotz Bedrohung

Trotz der Risiken boomt der Markt für Mobilgerätesicherheit. Analysten schätzen das globale Volumen für 2026 auf 7,5 Milliarden US-Dollar. Bis 2033 soll es auf 15,9 Milliarden Dollar wachsen – angetrieben durch teure Premium-Smartphones und hohe Reparaturkosten.

Hersteller bringen unterdessen neue, sicherere Hardware auf den Markt. OPPO veröffentlichte das Find N6 in Japan, Motorola bereitet den globalen Start des Razr 70 Ultra mit Android 16 vor.

Auf Software-Seite schließt Samsung eine Schwachstelle (CVE-2026-21010) im Retail-Modus von Android 14 bis 16. Google plant für Android 17 einen erweiterten Schutzmodus, der den Zugriff auf die AccessibilityService-Schnittstelle stark einschränkt. Das soll Banking-Trojaner stoppen, könnte aber auch legitime Apps beeinträchtigen.

Phishing-as-a-Service zerschlagen

Ein Erfolg im Kampf gegen Cyberkriminalität gelang internationalen Behörden im April 2026. Das FBI und die indonesische Polizei zerschlugen die Plattform W3LL, die „Phishing-as-a-Service“ anbot. Zwischen 2019 und 2023 kompromittierte das Netzwerk über 25.000 Konte; der Schaden wird auf über 20 Millionen Dollar geschätzt. Die Plattform bot sogar Werkzeuge zur Umgehung der Zwei-Faktor-Authentifizierung.

Die Professionalisierung der Angreifer zeigt sich auch in der Nutzung von LinkedIn und Telegram für Social-Engineering-Angriffe. Selbst das Öffnen einer manipulierten PDF-Datei kann in Adobe Reader eine Zero-Day-Schwachstelle (CVE-2026-34621) ausnutzen.

Was kommt auf Nutzer und Unternehmen zu?

Die Vorfälle machen klar: Die Sicherheit eines Systems ist nur so stark wie sein schwächstes Glied – oft ein Drittanbieter. Für Verbraucher bleibt die Wachsamkeit gegen Phishing und die Nutzung von Multi-Faktor-Authentifizierung die wichtigste Verteidigung.

Unternehmen müssen ihre Sicherheitskonzepte auf die gesamte Lieferkette ausweiten. Messenger wie WhatsApp arbeiten an Echtzeit-Warnungen bei paralleler Kontonutzung. Und Plattformen wie Roblox führen verpflichtende Identitätsprüfungen ein, um regulatorischen Anforderungen zu genügen. Der Druck für mehr Sicherheit steigt von allen Seiten.

de | boerse | 69144839 |