Die Hackergruppe Lapsus$ hat rund 7,1 GB interner Vodafone-Quellcode öffentlich ins Netz gestellt, nachdem das Telekommunikationsunternehmen eine Lösegeldforderung innerhalb einer 15-tägigen Frist abgelehnt haben soll. Die Nachricht auf der Leak-Seite der Gruppe war kurz und eindeutig: „Time expired. Vodafone refused to pay. Data is now public.“

Was ist passiert?

Lapsus$ behauptet, sich Zugang zu internen GitHub-Repositories von Vodafone verschafft zu haben. Sicherheitsforscher vermuten, dass der Angriff über ein kompromittiertes internes GitHub-Konto erfolgte, das Zugriff auf mehrere Repositories ermöglichte. Besonders brisant: Im geleakten Code wurden mehrere Dateien mit direkt eingebetteten PostgreSQL-Datenbankzugangsdaten gefunden. Solche hardcodierten Credentials sind ein klassischer Entwicklungsfehler, der im schlimmsten Fall direkten Zugriff auf Backend-Systeme ermöglicht, ohne dass dafür weitere Exploits nötig sind.
Vodafone hat den Vorfall bestätigt, betont aber, dass keine Kundendaten betroffen seien. Als Ursache nennt das Unternehmen kompromittierte Software eines Drittanbieters.

Keine neue Geschichte

Es ist nicht das erste Mal, dass Lapsus$ Vodafone ins Visier nimmt. Bereits 2022 behauptete die Gruppe, rund 200 GB Quellcode aus etwa 5.000 GitHub-Repositories gestohlen zu haben. Damals blieb es bei der Drohung; die Daten wurden nicht veröffentlicht. Zwischen 2022 und 2025 wurden laut Cybernews mindestens 30 verschiedene datenbezogene Vorfälle bei Vodafone und seinen Tochterunternehmen dokumentiert. Im Juni 2025 verhängte die deutsche Datenschutzbehörde ein Bußgeld von 45 Millionen Euro gegen das Unternehmen, unter anderem wegen unzureichender Kontrolle von Partneragenturen und Mängeln bei der Kundenauthentifizierung.

Für Vodafone-Kunden besteht nach aktuellem Stand kein unmittelbares Risiko durch den Abfluss persönlicher Daten. Das eigentliche Problem liegt tiefer: Geleakter Quellcode erlaubt es anderen Angreifern, die interne Architektur eines Unternehmens zu analysieren. Eingebettete Zugangsdaten, API-Keys, interne Endpoints oder Konfigurationsdetails können als Sprungbrett für Folgeangriffe dienen, oft lange nach dem ursprünglichen Vorfall.
Für Unternehmen ist dieser Fall ein erneuter Hinweis darauf, dass GitHub-Zugänge und Entwicklungsumgebungen genauso sorgfältig abgesichert werden müssen wie Produktionssysteme.

Wer steckt hinter Lapsus$?

Viele Mitglieder sind oder waren zum Zeitpunkt ihrer Aktivitäten Teenager oder junge Erwachsene. Die Londoner Polizei verhaftete im März 2022 sieben Personen zwischen 16 und 21 Jahren, die der Gruppe zugerechnet wurden. Ein Mitglied, Arion Kurtaj (18 Jahre), wurde später wegen Angriffen auf Rockstar Games und Uber zu einer unbefristeten psychiatrischen Unterbringung verurteilt.
Seit Mitte 2025 operiert Lapsus$ gemeinsam mit Scattered Spider und ShinyHunters unter dem Namen „Scattered Lapsus$ Hunters“, einem losen Zusammenschluss, der Infrastruktur und Leak-Seiten teilt, aber weiterhin eigenständig agiert.

Ein herzliches Dankeschön geht an dieser Stelle an einen aufmerksamen CYROS-Leser, der uns auf diesen Vorfall aufmerksam gemacht hat.