In der neuen Folge von Breach FM starten Max und ich mit einem kurzen Mythos-Nachklang, bevor wir in die eigentlichen Themen einsteigen.

NIST kündigt an, die National Vulnerability Database künftig zu priorisieren statt alles gleichmäßig anzureichern. CVEs im CISA-Katalog oder für US-Bundesbehörden werden weiterhin vollständig verarbeitet, der Rest nicht mehr zwingend. Nachvollziehbar angesichts des KI-getriebenen Vulnfloods, aber problematisch: Wer das Triage-Sieb kontrolliert, kontrolliert die Priorisierung aller anderen.

Dann eine skurrile IoT-Geschichte: Ampelsteuerungen von Polara Enterprises lassen sich per Bluetooth und einer öffentlichen App konfigurieren. Default-Passwort: 1234, dokumentiert in der öffentlichen Doku. Im April 2025 spielten Unbekannte so Deepfake-Stimmen von Elon Musk, Zuckerberg und Bezos an Ampeln in Palo Alto und Seattle ein. Security-Researcher Deviant Ollam hatte das Problem bereits 2024 dokumentiert.

Microsoft Defender hat eine Zero-Day namens Red Sun: Payloads können so konstruiert werden, dass der Defender beim Scanning selbst zur Angriffskette wird und aus der eigenen Sandbox ausbricht. Kein Argument gegen EDR, aber ein Argument dafür, Security-Tooling in BCM-Prozesse einzubeziehen.

Ein technisch wichtiger Fall: Im Bundesterrorismus-Prozess in Texas extrahierte das FBI Signal-Nachrichten von einem iPhone, obwohl die App gelöscht war und Disappearing Messages aktiv waren. Kein gebrochenes Encryption, sondern iOS-Design: eingehende Notifications werden in einer eigenen Datenbank gecacht. Wer das vermeiden will: Signal-Einstellungen, Notifications, "No Name or Content" aktivieren.

Zum Abschluss der Vercel-Breach: Ein Mitarbeiter hatte dem Third-Party-AI-Tool Context.ai weitreichende Google Workspace OAuth-Permissions erteilt. Über einen kompromittierten OAuth-Token kamen Angreifer an Environment Variables. Jemand gab sich als ShinyHunters aus, was diese dementiert haben. Robert fragt, ob Hacktivismus eine Rolle spielt: CEO Guillermo Rauch steht seit Monaten online unter Feuer, und der Breach folgte auffällig zeitnah auf die durchgesickerten IPO-Pläne.

NIST Updates NVD Operations to Address Record CVE Growth

https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

Microsoft Defender 0-Day Vulnerability “RedSun” Enables Full SYSTEM Access

https://cybersecuritynews.com/defender-0-day-redsun/

Vercel April 2026 security incident

https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

The Dumbest Hack of the Year Exposed a Very Real Problem

https://www.wired.com/story/crosswalk-city-hack-cybersecurity-lessons/

FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database

https://www.404media.co/fbi-extracts-suspects-deleted-signal-messages-saved-in-iphone-notification-database-2/

The Sad Decline of Trenchant Exec Who Had Everything, Before Deciding to Steal and Sell Zero Days to Russian Buyer

https://www.zetter-zeroday.com/trenchant-exec-says-he-had-depression-money-troubles-when-he-decided-to-sell-zero-days-to-russian-buyer-also-new-info-reveals-nature-of-his-work-for-australian-intelligence-agency/