Nachdem anderen Nutzern kurze Zusammenfassungen von ChatGPT-Konversationen angezeigt wurden, konnte OpenAI das Problem beheben.

Der ChatGPT-Entwickler OpenAI hat einen Fehler behoben, bei dem die Daten anderer Nutzer eingesehen werden konnten. Zwischenzeitlich deaktivierte das Unternehmen die Chatverlaufsfunktion von ChatGPT, da die Titel der Konversationen anderen Nutzern angezeigt wurden. Zuerst berichtete die Nachrichtenagentur Reuters.

Bekannt wurde der Fehler über Screenshots von fremden ChatGPT-Konversationen, die auf Reddit und Twitter veröffentlicht wurden. Ein Sprecher von OpenAI, dem ChatGPT-Hersteller, bestätigte der Nachrichtenagentur Bloomberg den Vorfall.

Er betonte, dass der Fehler nicht zu einer Weitergabe der vollständigen Transkripte von Unterhaltungen mit dem Chatbot geführt habe, sondern nur kurze beschreibende Titel weitergegeben worden seien.

Laut einem Tweet von OpenAI-CEO Sam Altman wurde das Problem durch “einen Fehler in einer Open-Source-Bibliothek” verursacht. Der Fehler in der nicht namentlich genannten Bibliothek sowie in ChatGPT sei behoben worden. Zwischenzeitlich wurde der ChatGPT-Dienst beziehungsweise die Chatverlaufsfunktion deaktiviert. In Folge des Fixes könnten Nutzer allerdings ihre Chatverläufe vom 20. März zum Teil nicht mehr einsehen, schreibt Altman.

Der Fehler sei eine wichtige Erinnerung daran, keine sensiblen Daten mit ChatGPT zu teilen, schreibt das Onlinemagazin The Verge und verweist auf eine entsprechende Stelle in den FAQ von OpenAI. Das Unternehmen könne bestimmte Eingaben nicht aus dem Verlauf löschen, zudem könnten die Unterhaltungen zu Schulungszwecken verwendet werden, heißt es in der FAQ.

Der Beitrag OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte erschien zuerst auf Linux-Magazin.

Gemeinsam mit dem Tor Projekt hat der VPN-Dienst Mullvad einen eigenen Browser veröffentlicht, der für mehr Anonymität und Sicherheit im Internet sorgen soll. Die Mullvad Browser genannte Anwendung basiert auf dem Tor Browser und damit auf Firefox, wurde jedoch für die Nutzung mit einem VPN-Dienst angepasst.

Ziel des Projektes ist es wie beim Tor Browser, das sogenannte Browser-Fingerprinting zu erschweren, bei welchem einzelne Browser durch das Auslesen und Auswerten verschiedener Merkmale durch Trackingdienste wiedererkannt und durch das Internet verfolgt werden. Entsprechend soll der Mullvad Browser von außen möglichst gleich aussehen.

In Kombination mit einem VPN-Dienst, der auch die IP-Adresse der Nutzer austauscht, soll dadurch ein weitgehend unbeobachtetes Surfen möglich sein. Das hängt allerdings auch vom verwendeten VPN-Anbieter ab, die oft genug nicht für mehr Sicherheit oder Privatsphäre sorgen – beziehungsweise sogar das Gegenteil tun.

Der Mullvad Browser selbst bringt weder Tor noch einen VPN-Dienst mit. Dieser muss zusätzlich installiert werden. Wird auf Mullvad VPN gesetzt, kann über eine bereits integrierte Browser-Erweiterung ein Proxyserver gewählt werden. Auf diese Weise kann der Browser eine andere IP-Adresse als sein Host-System verwenden und diese beliebig wechseln.

Das Tor Projekt hat gemeinsam mit dem VPN-Anbieter Mullvad einen Browser für VPNs veröffenlicht, der für mehr Privatsphäre sorgen soll.

Wie beim Tor Browser wird der Browser im privaten Modus verwendet und Cookies und Webseitendaten voneinander isoliert. Wie beim Pendant des Tor Projektes können die Nutzer des Mullvad Browsers zwischen drei Sicherheitslevels wählen, die beispielsweise die Verwendung von Javascript einschränken.

Im Unterschied zum Tor Browser setzt der Browser von Mullvad auf den Werbe- und Trackerblocker uBlock Origin, bei dem neben den Standard-Filterlisten zwei weitere aktiviert wurden. Dabei sollten weder durch Änderungen an der Konfiguration von uBlock Origin noch durch das Installieren von Browser-Erweiterungen Änderungen am Mullvad Browser vorgenommen werden – denn diese können dazu führen, dass die Mullvad Browser nicht mehr gleich aussehen und damit der Trackingschutz nicht mehr gegeben ist.

Der Mullvad Browser kann auf der Webseite des VPN-Dienstes heruntergeladen werden. Er ist für Linux, Windows und MacOS verfügbar. Wer die Signatur prüfen möchte, sei darauf hingewiesen, dass diese nicht von Mullvad, sondern vom Tor Projekt stammt.

Der Beitrag Mullvad Browser ist der Tor-Browser für VPNs erschien zuerst auf Linux-Magazin.

Laut dem Content Delivery Network (CDN) Cloudflare setzen High-Performance Botnetzwerke mittlerweile bevorzugt auf gehackte Virtual Private Servers (VPS) statt wie bisher auf massenhaft gehackte IoT-Geräte (Internet of Things) wie Überwachungskameras oder Router.

Zwar hatte das einzelne IoT-Gerät nur eine sehr begrenzte Leistung und Durchsatz, doch in der Masse, mit Hunderttausenden oder gar Millionen Geräten, konnten leistungsfähige DDoS-Angriffe (Distributed Denial of Service) durchgeführt werden. Bei diesen Angriffen werden Webseiten beziehungsweise Server mit Anfragen überhäuft, bis sie unter der Last zusammenbrechen.

Eine neue Generation von Botnetzen verwende hingegen einen Bruchteil der Geräte, erklärt Cloudflare in einem Bericht. Genutzt würden leistungsfähige virtuelle Private Server in der Cloud, die beispielsweise von Start-ups oder Unternehmen für leistungsfähige Anwendungen genutzt werden.

Angreifer kompromittieren demnach ungepatchte Server oder können sich mit bekannt gewordenen APi-Anmeldeinformationen an den Verwaltungskonsolen anmelden. Um gegen solche kompromittierten VPS vorzugehen, arbeite Cloudflare mit etlichen Cloud-Anbietern zusammen, erklärt das Unternehmen. “Dank der schnellen Reaktion und der Sorgfalt der Cloud-Computing-Anbieter konnten große Teile dieser Botnets deaktiviert werden.”

Insgesamt hätten die DDoS-Angriffe im Vergleich zum letzten Quartal nicht zugenommen, im Vergleich zum Vorjahr sei aber ein Anstieg um 60 Prozent zu verzeichnen, erklärt Cloudflare. Insbesondere Rundfunk- und Fernsehanstalten sowie gemeinnützige Organisationen seien von den Angriffen betroffen. Dabei würde häufig auf Ransom-DDoS-Angriffe gesetzt, bei denen die Angreifer ein Lösegeld verlangen, um Angriffe zu stoppen oder weitere zu verhindern.

Der Beitrag Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT erschien zuerst auf Linux-Magazin.

Google muss ein Suchergebnis entfernen, das einen kanadischen Geschäftsmann wahrheitswidrig als verurteilten Pädophilen beschreibt. Dafür musste er jahrelang kämpfen.

Mehrere Jahre hat ein Mann aus Montreal (Kanada) versucht, einen verleumderischen Beitrag aus den Suchergebnissen von Google entfernen zu lassen. Nun hat der Oberste Gerichtshof in Quebec das Unternehmen zur Entfernung des Ergebnisses und einer Zahlung von 500.000 kanadischen Dollar verurteilt.

Google habe das kanadische Recht falsch ausgelegt, als es die Löschanträge des Mannes ablehnte, urteilte das Gericht. In der richterlichen Verfügung wird der Mann laut einem Bericht des Onlinemagazins Ars Technica als “prominenter Geschäftsmann” in der Immobilienbranche genannt. Er sei sowohl in den USA als auch in Kanada tätig.

Den verleumderischen Beitrag entdeckte der Mann demnach bereits im April 2007, als er seinen Namen mit Google suchte, nachdem mehrere Kunden nach einer Reihe von guten Vorgesprächen plötzlich keine Geschäfte mehr mit ihm machen wollten. Auf der von Google angezeigten Webseite wurde wahrheitswidrig behauptet, dass er ein Betrüger und “1984 wegen Kindesmissbrauchs verurteilt worden” sei.

Der Betreiber der Seite weigerte sich auf Nachfrage, den Artikel aus dem Netz zu nehmen. Für eine Klage wegen Verleumdung war es nach kanadischem Recht allerdings zu spät. “In Kanada muss die Klage innerhalb eines Jahres nach Erscheinen des Beitrags eingereicht werden, unabhängig davon, wann das Opfer der Verleumdung die Veröffentlichung sieht”, hieß es in der Verfügung des Richters.

Damit der Beitrag wenigstens nicht mehr so leicht gefunden werden kann, wandte sich der Mann an Google, um ihn aus den Suchergebnissen zu entfernen. Darauf folgte ein jahrelanges Hin und Her mit Google, das auf einem Widerspruch zwischen kanadischem Recht und einem Freihandelsabkommen beruhte. Währenddessen erlitt der Geschäftsmann erhebliche Einbußen und sein Sohn, der ebenfalls in der Immobilienbranche arbeitete, distanzierte sich von seinem Vater.

Der Richter folgte Googles Argumentation nicht und beschrieb die Erfahrung des Klägers als einen “wahrgewordenen Alptraum”. Da Google sich weigerte die Beiträge zu entfernen, habe sich der Mann “hilflos in einem surrealen und qualvollen zeitgenössischen Online-Ökosystem befunden, während er eine Odyssee durchlebte, um die verleumderischen Beiträge zu entfernen”.

Der Beitrag 500.000 Dollar Strafe, weil Google Link nicht entfernt hat erschien zuerst auf Linux-Magazin.

Mit Passkeys möchte sich Google von Passwörtern verabschieden. Die passwortlose Authentifizierung ist nun bei allen Google-Konten verfügbar.

Statt mit einem Passwort und eventuell einem zusätzlichen zweiten Faktor sollen sich Google-Nutzer zukünftig passwortlos per Passkeys anmelden. Das soll sowohl für mehr Komfort als auch für mehr Sicherheit sorgen.

Die Technik  wurde für alle Google-Konten freigeschaltet, erklärt Google in einem Blogbeitrag mit der Überschrift “Macht’s gut und danke für den Phish”, eine Anspielung an den vierten Band der Per-Anhalter-durch-die-Galaxis-Reihe von Douglas Adams.

Statt mit einem Passwort können sich die Nutzer mit einem auf ihrem Gerät generierten Passkey anmelden, der durch Fingerabdruck, Gesicht oder PIN geschützt wird. Das funktioniert laut Google mittlerweile unter allen gängigen Betriebssystemen und Browsern.

Auf Geräten, auf denen man sich nur einmalig bei seinem Google-Konto anmelden möchte oder die Passkeys noch nicht unterstützen, ist eine Anmeldung über das Smartphone möglich. Der Passkey verbleibt dabei auf dem Smartphone und wird nicht auf das Gerät, auf dem man sich anmelden will, übertragen. Auch ein Log-in mit Passwort soll laut Google weiterhin möglich sein.

Passkeys baut auf die bereits seit einigen Jahren existierenden Technik für eine Zwei-Faktor-Authentifzierung und passwortloses Anmelden mittels Fido2 beziehungsweise Webauthn auf. Mit Passkeys wird die Technik jedoch um eine Back-up-Funktion in der Cloud sowie die bereits oben genannte Möglichkeit, sich auf Betriebssystemen, welche die Technik nicht unterstützen, über das Smartphone anzumelden.

Neben auf dem jeweiligen Betriebssystem wie Android, iOS oder Windows generierten Passkeys können mit Fido-Sticks auch Hardware-Sicherheitsschlüssel für das passwortlose Anmelden genutzt werden, die teils ebenfalls per Fingerabdruck geschützt werden können. Im Hintergrund kommt bei dem Anmeldevorgang Publik-Key-Kryptografie zum Einsatz, von der die Nutzer allerdings nichts mitbekommen. Sie bietet jedoch deutlich mehr Sicherheit als Passwörter oder Zwei-Faktor-Authentifizierungsverfahren und schützt vor Phishing.

Der Beitrag Google-Passkeys: “Macht’s gut und danke für den Phish” erschien zuerst auf Linux-Magazin.

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Über kürzlich gehackte IT-Dienstleister seien etliche Bundes- und Landesbehörden akut in Gefahr, warnt das ITZ Bund. Gleiches gilt für Unternehmenskunden.

Mehrere IT-Dienstleister, die für die hiesigen Bundesbehörden arbeiten, sind von unbekannten Angreifern gehackt worden. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZ Bund) hervor, das dem Bayrischen Rundfunk vorliegt. Die Daten wurden wahrscheinlich bereits für weitere Angriffe genutzt.

Laut dem Warnschreiben von Ende April ist es den Angreifern “sehr wahrscheinlich” gelungen, große Mengen der E-Mail-Kommunikation der betroffenen IT-Dienstleister abzugreifen. Die E-Mails sollen neben personenbezogenen Daten wie Telefonnummern und Dienstsitze auch aktuelle Projekte und Mailverläufe mit angehängten Dokumenten enthalten haben.

Die entwendeten Daten könnten für Social-Engineering-Angriffe genutzt werden, um weitere Daten zu erhalten oder in Behördennetzwerke einzudringen. “Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben”, schreibt das ITZ Bund. Es bestehe ein “hohes Risiko”, dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen.

“Das Schreiben diente als reine Vorsichtsmaßnahme und zur Sensibilisierung der Beschäftigten”, erklärte das ITZ Bund Golem.de. Es seien bisher keine Daten oder Informationen abgeflossen.

Das ITZ Bund ist für rund 200 Bundes- und Landesbehörden tätig und arbeitet selbst mit den betroffenen IT-Dienstleistern zusammen. Bei diesen handelt es sich laut dem Warnschreiben um das Unternehmen Adesso, das bereits im Januar gehackt wurde und für seinen Umgang mit dem Angriff erhebliche Kritik bekam.

Im März und April wurde bekannt, dass die beiden IT-Dienstleister Materna und Init ebenfalls gehackt wurden. Zu ihren Kunden zählen beispielsweise das Robert-Koch-Institut und die Autobahn GmbH des Bundes sowie die Bundesministerien des Innern und der Wirtschaft. Dennoch sieht das Bundesinnenministerium auf Nachfrage des BR keine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung.

Der Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO), Andreas Rohr, rät die vom ITZ Bund versandte Warnung ernst zu nehmen. “Wenn man sich anschaut, dass das ITZ Bund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen.” Aus Sicherheitskreisen heißt es laut dem BR, dass noch unklar sei, wer hinter den Angriffen stecke.

Der Beitrag ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt erschien zuerst auf Linux-Magazin.