{"id":296918,"date":"2024-07-04T12:23:13","date_gmt":"2024-07-04T10:23:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296918"},"modified":"2024-07-09T16:04:47","modified_gmt":"2024-07-09T14:04:47","slug":"sicherheitssplitter-hacks-und-schwachstellen-1-juli-woche-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/04\/sicherheitssplitter-hacks-und-schwachstellen-1-juli-woche-2024\/","title":{"rendered":"Sicherheitssplitter: Hacks und Schwachstellen (1. Juli-Woche 2024)"},"content":{"rendered":"

\"SicherheitIch fasse mal einige Sicherheitsmeldungen, die mir die Tage untergekommen sind, in einem Sammelbeitrag zusammen. Die spanische Niederlassung von Viasat ist wohl Opfer der Ransomware-Gruppe Medusa geworden. Eine Hackergruppe behauptet, 33 Millionen Telefonnummern von Benutzern der Authy-App erbeutet zu haben. Bei KI-Modellen wurde ein neuer Ansatz f\u00fcr Jailbreak entdeckt – Gegenma\u00dfnahme ist eine AI-L\u00f6sung von Microsoft. Ach ja, ich bin tot – hat mir eine KI k\u00fcrzlich erkl\u00e4rt – und es gibt weitere Sch\u00e4tzchen im Bereich Sicherheit.<\/p>\n

<\/p>\n

Viasat ist Ransomware-Opfer<\/h2>\n

Viasat<\/a> ist ein Unternehmen, welches eine globale Kommunikation \u00fcber Satelliten erm\u00f6glicht. Auf Twitter hei\u00dft es: Viasat, das von dem italienischen Unternehmen Targa Telematics \u00fcbernommen wurde, ist einer der weltweit f\u00fchrenden Akteure im Bereich Internet der Dinge (IoT) und bei der Entwicklung digitaler L\u00f6sungen und Plattformen f\u00fcr vernetzte Mobilit\u00e4t.<\/p>\n

\"Viasat<\/a><\/p>\n

Die Ransomware-Gruppe Medusa behauptet, dass die spanische Niederlassung von Viasat ihr Opfer geworden ist. Obiger Tweet<\/a> h\u00e4lt einige Informationen bereit. Betroffen ist die spanische Niederlassung von Viasat. Die Hacker forderten 150.000 US-Dollar und sollen 98,9 GB an Daten exfiltriert haben. Ver\u00f6ffentlichte Beispiele zeigen italienische, spanische und rum\u00e4nische P\u00e4sse, notarielle Urkunden, Finanzdaten, Steuerdokumente, Kundendaten, Rechnungen, E-Mail-Korrespondenz, Geldstrafen und mehr.<\/p>\n

Hacker erbeuten 33 Millionen Authy-Mobilfunknummern<\/h2>\n

Um eine Zweifaktor-Authentifizierung verwenden zu k\u00f6nnen, setzen viele Nutzer Authentifizierungs-Apps ein. Solche Apps gibt es von Google und Microsoft, aber dann ist man von einem Big-Tech-Unternehmen abh\u00e4ngig. Eine dieser herstellerunabh\u00e4ngigen Authentifizierungs-Apps ist Authy. Deren App gibt es f\u00fcr Mobilfunkger\u00e4te und f\u00fcr den Desktop (Mac- sowie Windows). Die Desktop-Variante wird aber eingestellt (siehe Authy-Authentifizierung f\u00fcr den Desktop endet im August 2024<\/a>). Und damit das auch wirklich sicher ist, muss ein Authy-Nutzer seine Mobilfunknummer in der Mobilger\u00e4te-App eintragen.<\/p>\n

\"Authy-Mobilfunknummern<\/a><\/p>\n

In obigem Tweet<\/a> thematisiert Lorenzo Franceschi-Bicchierai einen Sicherheitsvorfall. Ein Hacker behauptet 33 Millionen Mobilfunknummern von Authy abgezogen zu haben. Twillio, der Betreiber von Authy hat bereits best\u00e4tigt, dass \" Bedrohungsakteure waren in der Lage waren, Telefonnummern zu identifizieren\". Wie viele Nutzer betroffen sind, wurde nicht mitgeteilt. Jetzt d\u00fcrfen sich Authy-Nutzer auf gezieltes Phishing oder Cyberangriffe \u00fcber die Mobilfunknummer einstellen. Die Details lassen sich bei Techcrunch in diesem Beitrag<\/a> nachlesen.<\/p>\n

App f\u00fcr Motorradfahrer leakt Nutzerdaten<\/h2>\n

Das Sicherheitsteam von Cybernews ist bereits am 21. Mai 2024 auf zwei \u00f6ffentlich zug\u00e4ngliche Microsoft Azure Blob-Instanzen gesto\u00dfen, die zu Moto.app<\/em> geh\u00f6ren. Das ist in Italien eine beliebte App f\u00fcr\u00a0 Motorradfans. Die Microsoft Azure Blob-Instanzen enthielten \u00fcber 211.000 PDF-Dateien mit pers\u00f6nlichen Nutzerdaten, angefangen von Vor- und Nachnamen, Wohnadressen, Kennzeichen von Motorr\u00e4dern und italienische Steuer-ID-Nummern. Damit k\u00f6nnten Angreifer die App-Nutzer gezielt per Phishing ansprechen – besser geht's (n)immer. Details lassen sich hier<\/a> nachlesen.<\/p>\n

Quoality-App leakt Kreditkartendaten von G\u00e4sten<\/h2>\n

Schon eine coole Sache, f\u00fcr alles und jedes gibt es eine App. Das Rechercheteam von Cybernews ist k\u00fcrzlich auf eine Fehlkonfiguration in Quoality-Systemen (Elasticsearch-Datenbank) gesto\u00dfen, die ein schwerwiegendes Datenleck verursachte. Quoality ist ein in Indien ans\u00e4ssiges Unternehmen, das eine Hotel- und G\u00e4stemanagement-Plattform namens Guest Experience (GX) entwickelt. Diese B2B-Plattform unterst\u00fctzt das Gastgewerbe bei der Verwaltung von kontaktlosem Ein- und Auschecken, Hoteldienstleistungen, G\u00e4steank\u00fcnften, automatisierten Nachrichten\u00fcbermittlungen und Zahlungen. L\u00e4uft f\u00fcr Kunden \u00fcber eine App.<\/p>\n

Durch die Fehlkonfiguration waren die finanziellen und pers\u00f6nlichen Informationen der G\u00e4ste f\u00fcr Dritte zug\u00e4nglich. Das Datenleck wurde durch einen Elastic-Cluster verursacht, der nicht \u00fcber angemessene Zugangskontrollen verf\u00fcgte. Am Ende des Tages wurden neben den pers\u00f6nlichen Daten der G\u00e4ste auch deren Kreditkartendaten geleakt – betraf wohl eine Million Datens\u00e4tze. Details lassen sich hier<\/a> nachlesen.<\/p>\n

Microsoft MSHTML-Fehler ausgenutzt<\/h2>\n

Angreifer nutzen einen Microsoft MSHTML-Fehler zur Verbreitung des Spyware-Tools MerkSpy aus, wie aus nachfolgendem Tweet<\/a>, der auf den Artikel Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool<\/a> verweist, hervorgeht.<\/p>\n

\"Microsoft<\/a><\/p>\n

Script gegen 0x80070643 mit Videar-Stealer<\/h2>\n

\u00dcber den Installationsfehler, verursacht durch die Windows-Updates B5034441\/KB5034439\u00a0 – hatte ich hier im Blog ja h\u00e4ufiger berichte (siehe Windows 10\/11\/Server 2022: Kein Fix f\u00fcr den Installationsfehler 0x80070643 beim WinRE-Update mehr<\/a>). Es gibt aber so feine PowerShell-Scripte, die Abhilfe versprechen.<\/p>\n

\"Info-Stealer<\/a><\/p>\n

Wer solche Scripte einsetzt, sollte verstehen, was die machen. Obiger Tweet weist auf diesen Golem-Beitrag<\/a> hin, der die Gefahr solcher Script anspricht. Cyberkriminelle machen sich die Unf\u00e4higkeit Microsofts, WinRE-Updates fehlerfrei unter Windows zu installieren, zunutze, um einen Infostealer per angeblichem Installations-Script f\u00fcr den Fehler 0X80070643 zu verbreiten.<\/p>\n

AVAST muss 16 Millionen zahlen<\/h2>\n

Sicherheitsanbieter AVAST hatte ja erfasste Benutzerdaten an Werbevermarkter verkauft – war ein riesiger Skandal, als das bekannt wurde. Im Blog-Beitrag FTC will 16,5 Millionen Dollar-Strafe und Verbot des Verkauf von Browserdaten f\u00fcr AVAST<\/a> hatte ich angedeutet, dass das Ganze in den USA ein Nachspiel habe. Die FTC hat nun wohl die Strafe in H\u00f6he von 16,5 Millionen US-Dollar festgelegt, wie heise hier berichtet<\/a>.<\/p>\n

AI-Sicherheitssplitter, haben uns noch gefehlt<\/h2>\n

Die neue Sau k\u00fcnstliche Intelligenz (KI), die ja momentan durch das Dorf getrieben wird, d\u00fcrfte IT-Administratoren noch so manche Kopfschmerzen bereiten. Da gibt es einerseits die Sorge bzw. die Anforderung, dass keine internen Firmeninformationen nach drau\u00dfen, im LLMs gehen. Aber es gibt noch eine andere Sorge: Dass gewitzte Nutzer sensible Informationen aus dem AI-Modell herauskitzeln, die eigentlich gesch\u00fctzt sein sollten.<\/p>\n

'Skeleton Key'-Angriff auf AI-Modelle<\/h3>\n

Ende Juni 2024 hat Mark Russionvich von Microsoft einen Beitrag Mitigating Skeleton Key, a new type of generative AI jailbreak technique<\/a> ver\u00f6ffentlicht, der eine bestimmte, von ihm entdeckte und 'Skeleton Key' genannte Angriffsmethode beschreibt.<\/p>\n

<\/a><\/p>\n

Obiger Tweet<\/a> (und dieser Post<\/a>) verweisen auf die entdeckte Angriffsmethode, mit der sich ein sogenannter Jailbreak durchf\u00fchren\u00a0 l\u00e4sst. Der Angreifer erh\u00e4lt dadurch Zugriffe auf die \"Interna des LLM\" und kann quasi alle Sicherheitsmechanismen und Modellanpassungen bei den wichtigsten Modellen ausschalten. Microsoft kennt offenbar Baron von M\u00fcnchhausen, und zieht sich an den Haaren aus dem Sumpf: Es gibt eine KI-L\u00f6sung Azure AI, die Nutzer von LLMs vor Jailbreaks sch\u00fctzen kann. Ist doch herrlich, oder?<\/p>\n

OpenAI ChatGPT-App f\u00fcr macOS speicherte Anfragen im Klartext<\/h3>\n

Microsofts Versuch, seine AI-L\u00f6sung Recall in Copilot unter Windows zu vermarkten, ist ja ziemlich nach hinten los gegangen. Niemand wollte Big Brother zur \u00dcberwachung des Personalcomputers haben. Bei macOS kommt nun heraus, dass die ChatGPT-App die durchgef\u00fchrten Unterhaltungen im Klartext gespeichert hat. Man kann also genau nachschauen, was da so gefragt wurde. Details lassen sich z.B. im Artikel\u00a0 OpenAI's ChatGPT app on macOS was storing all conversations in plain text<\/a> bei neowin.net nachlesen. Sch\u00f6ne neue AI-Welt.<\/p>\n

Mich gibt es nicht mehr<\/h3>\n

Ach ja, schon gewusst? Mich gibt es nicht mehr – hatte es schon mal erw\u00e4hnt, aber nicht so breit im Blog hervorgehoben. Beim Test von perplexity.ai, einer KI-basierten Suchmaschine (wurde von heise besprochen<\/a> und empfohlen) habe ich Baukl\u00f6tze gestaunt. Ich habe perplexity.ai zu meiner Person befragt – da wei\u00df ich in etwa Bescheid, was gelogen oder konfabuliert ist. Diese Frage- und Antwort-Spielchen kennt man schon von Google, die Suchmaschine schl\u00e4gt nach einer Anfrage einige zus\u00e4tzliche Suchlinks, die irgendwie passen k\u00f6nnten, vor. Segelt in der Rubrik \"Ist xyz reich?\", \"Ist xyz mit abc verheiratet?\" etc.<\/p>\n

Privatleben kommt bei mir sehr restriktiv im Internet vor – aber als Autor und Blogger ziehe ich eine breite Spur. Ich hatte ja mal erw\u00e4hnt, dass ich \u00fcber ein Exit vom Blog nachdenke, auch weil die Gesundheit nicht besser wird. Und so schlug mir perplexity.ai auch Fragen der Art \"Warum will G\u00fcnter Born aufh\u00f6ren zu bloggen?\", \"Welche gesundheitlichen Probleme hat G\u00fcnter Born\" etc. vor.<\/p>\n

\"Infos<\/p>\n

Bei vielen Antworten musste perplexity.ai zwar mit \"es liegen keine Informationen vor\" antworten. Aber es wurde flei\u00dfig aus diversen Artikeln, dem Wikipedia-Eintrag zu meiner Person, alten Interviews etc. zitiert. Und dann hat perplexity.ai seinem Namen alle Ehre gemacht, ich war echt perplex. Ich hatte \"welche gesundheitlichen Probleme hat G\u00fcnter Born\" als Suchvorschlag angew\u00e4hlt und bekam \"es liegen keine Informationen vor, unter welchen gesundheitlichen Problemen G\u00fcnter Born leidet\" als Antwort. Und dann folgte ein Abschnitt \"G\u00fcnter Born ist am … verstorben, Ursache unbekannt\".<\/p>\n

Donnerwetter – ich habe es mit Humor, wie Mark Twain, genommen, der meinte \"Die Ger\u00fcchte \u00fcber meinen Tod sind stark \u00fcbertrieben\". Inzwischen hat perplexity.ai bzw. das integrierte Modell wohl gelernt, dass die Todesanzeigen f\u00fcr G\u00fcnter Born nichts mit dem Autor G\u00fcnter Born gemein haben und blendet einen entsprechenden Hinweis ein. Bei sp\u00e4teren Versuchen ist es mir daher nicht mehr gelungen, den Lapsus f\u00fcr einen Screenshot nachzustellen. Als ich die Meldung \u00fcber meinen Tod las, war ich einfach zu perplex, sofort einen Screenshot anzufertigen. Ich sag's mal so: Zuk\u00fcnftig suche ich wieder einfach mittels Google – so ganz ohne AI – dann passt es wenigstens.<\/p>\n

An dieser Stelle noch einige Gedanken: AI wurde doch eingef\u00fchrt, damit die Menschen \"ganz einfach und ohne Vorwissen\" mit den Large Language Modellen (LLMs) arbeiten und Informationen herausziehen k\u00f6nnen sollen. Die Tage ist mir eine Rezensionsanfrage f\u00fcr ein neu erscheinendes Buch mit dem Titel \"Prompting like a Pro\" auf den Tisch geflattert. Man soll also Spezialwissen aus einem Buch ziehen, um eine Technik zu bedienen, die angetreten ist, alles viel einfacher zu machen. Was habe ich falsch verstanden?<\/p>\n

Auch Facebook bzw. Meta hat seine AI – und bei Facebook werden Algorithmen zur Moderation von Beitr\u00e4gen eingesetzt. Momentan k\u00e4mpfe ich mal wieder ganz heftig damit, dass diese AI struntzdoof daher kommt, aber andererseits vieles sperrt oder herunterstuft. Wenn ich einen Artikel \u00fcber eine St\u00f6rung bei HornetSecurity teile, regt sich die Facebook AI \u00fcber HornetSecurity auf (keine Ahnung, ob Hornet irgend etwas im LLM ausl\u00f6st, aber das \"gest\u00f6rt\" in HornetSecurity gest\u00f6rt wird als Verunglimpfung empfunden. Auf meine Beschwerden geben Facebook-Moderatoren die Beitr\u00e4ge zwar wieder frei. Die Episode zeigt aber, welcher Spa\u00df auf uns zukommt, wenn unsere \"innovativen Unternehmen mit Null-Blickern an der Spitze\" diese AI auf breiter Front einsetzen.<\/p>\n

Ich habe es hier im Blog nicht thematisiert, aber das Bundeskartellamt sieht KI als \"Brandbeschleuniger f\u00fcr Verbraucher\". Wer sich f\u00fcr dieses Thema interessiert, findet in diesem Fokus-Beitrag Lesefutter.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Ich fasse mal einige Sicherheitsmeldungen, die mir die Tage untergekommen sind, in einem Sammelbeitrag zusammen. Die spanische Niederlassung von Viasat ist wohl Opfer der Ransomware-Gruppe Medusa geworden. Eine Hackergruppe behauptet, 33 Millionen Telefonnummern von Benutzern der Authy-App erbeutet zu haben. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-296918","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296918"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296918\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}