### Große Marken kennzeichnen fehlerhafte Authentifizierungsbildschirme Benutzer, die die Websites bekannter japanischer Unternehmen wie **Toshiba** und **Muji** besuchten, wurden mit ungewöhnlichen Anmelde-Pop-ups konfrontiert. Beide Unternehmen rieten Kunden, die möglicherweise ihre Anmeldeinformationen in diese verdächtigen Bildschirme eingegeben hatten, umgehend, ihre Passwörter für die betroffenen Dienste zu ändern. "Wir haben bestätigt, dass Teile unserer Website möglicherweise eine Anmeldebildschirm wie die unten gezeigte anzeigen. Wir arbeiten derzeit daran, diesen Bildschirm zu eliminieren, aber wenn Sie ihn sehen, wählen Sie bitte 'Abbrechen', ohne Informationen einzugeben", teilte **Toshiba** in einer offiziellen Mitteilung mit.  **Muji** veröffentlichte eine ähnliche Warnung und mahnte zur Vorsicht. Obwohl keines der Unternehmen unbefugten Zugriff oder Informationslecks bestätigt hat, betonten sie die Bedeutung der Kundensicherheit. Sowohl **Toshiba** als auch **Muji** haben das unmittelbare Problem inzwischen behoben, indem sie die problematische Dienstintegration ausgesetzt haben. ### Die Wiederbelebung von Polyfill.io: Eine anhaltende Bedrohung Die Ursache für diese fehlerhaften Anmeldeaufforderungen liegt im externen Dienst, der unter **polyfill[.]io** gehostet wird. Diese Domain hat eine umstrittene Geschichte und war in einen Vorfall im Jahr 2024 verwickelt, bei dem sie bösartigen Code in Skripte einschleuste, die über ihr Content Delivery Network (CDN) ausgeliefert wurden. **Polyfill** ist ein Open-Source-JavaScript-CDN, das Kompatibilitätsschichten bereitstellt, damit moderne Websites in älteren Browsern korrekt funktionieren. Der ursprüngliche Ersteller des Projekts, **Andrew Betts**, besaß nie die Domain **polyfill[.]io**. Als die Domain abgelaufen war, wurde sie von einer chinesischen Entität erworben, was zur bösartigen Skriptinjektion im Jahr 2024 führte, die über 100.000 Websites betraf. Während **Betts** öffentlich empfahl, den Dienst zu entfernen und anschließend das CDN unter polyfill.com neu startete, versäumten es viele Websites, die alten **polyfill[.]io**-Referenzen vollständig aus ihren Codebasen zu löschen. Der Sicherheitsforscher **Pasquale Pillitteri** berichtete, dass die Domain **polyfill[.]io** ab Ende Mai 2026 wieder aktiv wurde. Diesmal injizierte sie keine bösartigen Skripte direkt, sondern antwortete mit HTTP 401-Authentifizierungsanfragen. Benutzerbrowser interpretieren diese 401-Antworten als legitime Anfragen nach einem Benutzernamen und Passwort und zeigen folglich eine systemseitige Anmeldeaufforderung an. Dieser Mechanismus verleitet Benutzer dazu, potenziell ihre Anmeldeinformationen preiszugeben, obwohl die Aufforderung von einem Drittanbieterskript und nicht von der legitimen Website stammt. ### Weitreichende Auswirkungen und anhaltende Wachsamkeit Neben **Toshiba** und **Muji** haben japanische Medien berichtet, dass auch andere Unternehmen, darunter **Zojirushi**, **FiNC Technologies**, **Ishiyaku Publishers** und die Online-Publishing-Marke **Hobonichi**, betroffen waren. **Pillitteri** stellte weiter fest, dass **Samsung Smart TVs** und zugehörige Websites um den 1. Juni herum ähnliche Anmeldeaufforderungen anzeigten. Derzeit gibt es keine bestätigten Beweise dafür, dass Anmeldeinformationen, die in diese fehlerhaften Bildschirme eingegeben wurden, gestohlen wurden. Das Potenzial für das Abgreifen von Anmeldeinformationen ist jedoch erheblich. Dieser Vorfall dient als kritische Erinnerung für IT-Sicherheitsexperten und datenschutzbewusste Benutzer gleichermaßen, äußerste Vorsicht bei unerwarteten Authentifizierungsaufforderungen walten zu lassen, insbesondere bei solchen, die außerhalb des Kontexts oder ohne explizite Benutzeraktion erscheinen. Organisationen müssen sicherstellen, dass sie die Integrationen von Drittanbieterskripten gründlich prüfen und wachsam gegenüber ruhenden, potenziell kompromittierten Domains bleiben, die reaktiviert werden und neue Bedrohungen darstellen können.