Zwei-Faktor-Geplauder: Cybersecurity & Tech

Marc rauft sich die Haare über die Broken Access Control beim Ajax Amsterdam, während Martin analysiert, warum Hasbro nach dem Vorfall wohl vorerst wieder auf Brettspiele aus Pappe setzen muss. Wenn Hacker ihre Millionenbeute lieber in Pokémon-Karten statt in Krypto-Mixer stecken, weißt du, dass die IT-Welt endgültig im Realitätscheck-Modus angekommen ist. Wir klären außerdem, warum Wikipedia jetzt den Riegel vor KI-generierten Bot-Slop schiebt und warum das ein Segen für die Informationsqualität im Netz ist.


Wikipedia verbietet KI-generierte Artikel, KI darf nur noch unterstützen -Heise Security


Hasbro takes some systems offline after cybersecurity incident -The Record


Nach zwei Hacks in einem Monat: Kryptodieb kauft von Millionenbeute Pokémon-Karten -Golem Security


AFC Ajax drops ball as flaws let hackers play admin with tickets and bans -The Register Security


Wikipedia setzt klare Grenzen für KI-generierte Inhalte -IT Boltwise


Ajax football club hack exposed fan data, enabled ticket hijack -BleepingComputer


Besucht uns auf: zweifaktorgeplauder.de


Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

In dieser Folge von Zwei Faktor Geplauder nehmen Martin und Marc euch mit in den ganz normalen Sicherheitswahnsinn: eine deutsche Hackerin legt sich mit der Malta Gaming Authority an, die Polizei klingelt Admins nachts aus dem Bett und ein beliebter Security-Scanner wird selbst zur Supply-Chain-Waffe. Marc seziert die technischen Details rund um den Trivy-Hack, die GitHub-Actions-Backdoor und die DarkSword-iOS-Exploitkette, während Martin fragt, was das für Regulierung, Bug-Handling und eure Security-Governance im Alltag bedeutet. Dazu gibt es den Reality-Check zu Messenger-Phishing gegen Signal und WhatsApp: Ende-zu-Ende-Verschlüsselung bringt nichts, wenn eure Leute OTPs am Telefon rausgeben. Und ja, wir reden auch darüber, warum KI jetzt Zero-Days findet und ihr Patch-Management dadurch nicht einfacher wird.


Links zur Folge:


‘It was easy’: German security researcher behind Malta Gaming Authority hack -Manuell


Maltese IT company at centre of massive online casino security flaw -Manuell


'Researcher' hacks into gambling regulator IT system -Manuell


Mitten in der Nacht: Bundesweite Polizeieinsätze wegen einer Softwarelücke -Golem Security


WTF: Polizei rückte Samstagnacht wegen Zero-Day aus -Heise Security News


Trivy supply-chain attack spreads to Docker, GitHub repos -BleepingComputer


Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert -Golem Security


Trivy Hack Spreads Infostealer via Docker, Triggers Worm and Kubernetes Wiper -The Hacker News


Trivy vulnerability scanner breach pushed infostealer via GitHub Actions -BleepingComputer


Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages -The Hacker News


Trivy vulnerability scanner backdoored with credential stealer in supply chain attack -CSO Online


Trivy Security Scanner GitHub Actions Breached, 75 Tags Hijacked to Steal CI/CD Secrets -The Hacker News


Exploit-Kette entdeckt: Hacker infiltrieren iPhones durch nur einen Klick -Golem Security


CISA orders feds to patch DarkSword iOS flaws exploited attacks -BleepingComputer


FBI Warns Russian Hackers Target Signal, WhatsApp in Mass Phishing Attacks -The Hacker News


FBI links Signal phishing attacks to Russian intelligence services -BleepingComputer


Patch Tuesday März 2026: 84 Fixes und die erste kritische Schwachstelle, die eine KI fand -Security Today


Besucht uns auf: zweifaktorgeplauder.de


Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Martin fragt sich, ob das eigentliche Risiko im Unternehmen wirklich Copilot ist – oder der Freitagnachmittag, an dem niemand mehr die KI-Ausgaben kontrolliert, während gleichzeitig KI-generierte Phishing-Mails das Postfach fluten und Cybercrime im Windschatten des Iran-Konflikts explodiert.


Marc seziert derweil die Technik hinter der Stryker-Wipe-Attacke ganz ohne Malware, schaut auf Intune, VPN-Fakes und SEO-Poisoning und erklärt, warum „nur mal schnell was klicken“ plötzlich zehntausende Endgeräte ins digitale Jenseits befördert.


Gemeinsam diskutieren die beiden, wie agentische KI-Plattformen gekapert, AI-Browser in Phishing-Fallen verwandelt und Krankenhaus-IT von geopolitischen Konflikten in Geiselhaft genommen werden – und welche pragmatischen Schritte Security-Teams jetzt wirklich gehen sollten.


Risiken durch Copilot mindern: Analyst schlägt KI-Verbot am Freitagnachmittag vor -Golem Security (Atom)


Interpol warnt: KI macht deutlich produktiver - zumindest Kriminelle -Golem Security (Atom)


Stryker attack wiped tens of thousands of devices, no malware needed -BleepingComputer


Cybercrime has skyrocketed 245% since the start of the Iran war -The Register Security


Stryker says hospital tools are safe, but digital ordering systems still down after cyberattack -The Record


KI-generiertes Phishing: Warum 82 Prozent aller Angriffs-Mails jetzt von Maschinen stammen -Security Today


Storm-2561 targets enterprise VPN users with SEO poisoning, fake clients -CSO Online


Medical giant Stryker crippled after Iranian hackers remotely wipe computers -CSO Online


Why Stryker's Outage Is a Disaster Recovery Wake-Up Call -Dark Reading


Vollzugriff in zwei Stunden: KI-Agent hackt eigenständig KI-Plattform von McKinsey -Golem Security (Atom)


Wipe-Attacke: Hackergruppe legt Medizintechnik-Konzern Stryker lahm -Golem Security (Atom)


Iran plots 'infrastructure warfare' against US tech giants -The Register Security


Iran-linked cyber crew says they hit US med-tech firm -The Register Security


Researchers Trick Perplexity's Comet AI Browser Into Phishing Scam in Under Four Minutes -The Hacker News


Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker -KrebsOnSecurity


Besucht uns auf: zweifaktorgeplauder.de


Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Wenn selbst das FBI unerwarteten Besuch im Netz hat, wissen wir: Es ist wieder eine ganz normale Woche in der IT-Security. Wir schauen uns an, warum Millionen Londoner Fahrgäste unfreiwillig zum „Open Data“-Projekt wurden und ob die NIS2-Müdigkeit der deutschen Unternehmen System hat. Dazu gibt es Tipps, wie ihr eure Pakete und Xiaomi-Telefone vor krimineller Kreativität schützt.


Kein Einzelfall: DHL-Kunde verliert 600-Euro-Paket in Packstation - Golem.de


Fake-News in Push-Mitteilungen: Stiftung Warentest entdeckt Betrugsversuch auf Xiaomi-Handy - Golem.de


Cyberangriff: Das FBI hat offenbar Hacker im Netzwerk - Golem.de


London: Zehn Millionen Datensätze bei Cyberangriff auf Verkehrsbehörde gestohlen - Heise.de


NIS2: Warum sich so wenige Unternehmen registrieren - Heise.de


BSI: 11.500 kritische Einrichtungen unter NIS2 registriert - Heise.de


Besucht uns auf: zweifaktorgeplauder.de


Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de