Thought Leadership
Manipulierte Skripte der Domain polyfill.io sorgen auf den Websites von Toshiba und Muji sowie auf Samsung-Fernsehern für verdächtige Login-Pop-ups.
Der Technologiekonzern Toshiba und der Handelsriese Muji haben Warnungen vor manipulierten Anmeldefenstern auf ihren Webauftritten herausgegeben. Seit Ende Mai 2026 sendet die reaktivierte externe Domain polyfill.io unerwartete HTTP-401-Authentifizierungsanfragen an die Browser der Website-Besucher. Die Browser interpretieren diese Serverantwort als legitime Aufforderung zur Eingabe von Benutzernamen und Passwörtern und stellen automatisch ein entsprechendes Pop-up-Fenster dar. Über diese gefälschten Masken könnten unbemerkt Zugangsdaten von Anwendern abgefangen werden. Auch auf älteren Webseiten anderer japanischer Marken wie Zojirushi, FiNC Technologies, Ishiyaku Publishers und Hobonichi sowie auf Samsung Smart TVs traten diese Abfragen ab dem 1. Juni 2026 auf.
Kompromittierte Domain bei Toshiba basiert auf Supply-Chain-Angriff
Der Vorfall basiert auf Restbeständen eines bekannten Supply-Chain-Angriffs aus dem Jahr 2024. Polyfill dient als JavaScript-Schnittstelle, um moderne Webinhalte auf älteren Browserversionen lauffähig zu machen. Da die Domain polyfill.io damals nicht mehr im Besitz des ursprünglichen Open-Source-Entwicklers Andrew Betts war, wurde sie nach dem Auslaufen von einer chinesischen Entität übernommen und mit Schadcode versehen. Dies betraf weltweit über 100.000 Websites. Betts empfahl Betreibern dringend die Entfernung des Dienstes und verlagerte das legitime Projekt auf neue Adressen wie polyfill.com und polyfill.top. Zahlreiche Unternehmen versäumten es in den vergangenen zwei Jahren jedoch, den alten Quelltext vollständig von all ihren Unterseiten zu entfernen.
Betroffene Unternehmen und Schutzmaßnahmen
Sowohl Toshiba als auch Muji haben die Einbindung des Dienstes inzwischen vollständig eingestellt und das Problem auf ihren Plattformen behoben. Bisher gibt es keine konkreten Beweise für erfolgreiche Hackerangriffe oder den Abfluss von Nutzerdaten über die manipulierten Masken. Dennoch rieten die Verantwortlichen allen Kunden, die Daten eingegeben haben, zu einer sofortigen Passwortänderung.
„Wir haben bestätigt, dass einige Teile unserer Website einen Anmeldebildschirm wie den unten gezeigten anzeigen können. Wir arbeiten derzeit daran, diesen Bildschirm zu beseitigen, aber wenn Sie ihn sehen, wählen Sie bitte ‚Abbrechen‘, ohne Informationen einzugeben.“
Toshiba
Muji veröffentlichte eine ähnliche Bekanntmachung: „Zum jetzigen Zeitpunkt haben wir keinen unbefugten Zugriff oder Informationsabfluss auf dieser Website bestätigt, aber um die Sicherheit unserer Kunden zu gewährleisten, bitten wir Sie, Ihre Reaktion zu überdenken.“
