Donnerstag: Risiko durch Googles API-Keys, Erfolge gegen Cybercrime & Phishing

Sicherheitsforscher haben fast 3000 öffentlich sichtbare API-Keys von Google gefunden, die Gemini autorisieren. Das ermöglicht missbräuchlichen Zugriff, denn mit den einfach abgreifbaren Schlüsseln können mit der Google-KI geteilte Daten erbeutet und Gemini auf Kosten des Opfers genutzt werden. Google arbeitet an einer Lösung. Derweil hat Europol gleich zwei Schläge gegen Cyberkriminelle durchgeführt. Nach der Beschlagnahmung der LeakBase-Datenbank, einem der weltweit größten Cybercrime-Foren, identifizierten und verhafteten die Behörden mehrere Verdächtige. Diesen wird vorgeworfen, mit gestohlenen Daten Profit gemacht zu haben. Die zweite Aktion richtete sich gegen die Phishing-Plattform Tycoon2FA, die zu den weltweit größten Phishing-Operationen gehörte. Sie ermöglichte Kriminellen unbemerkten Zugriff auf E-Mail-Konten. Nun wurde die Plattform bei einer internationalen Strafverfolgungsaktion abgeschaltet – die wichtigsten Meldungen im kurzen Überblick.

Google arbeitet an der Behebung eines Problems mit eigenen API-Keys, nachdem Sicherheitsforscher auf möglichen Missbrauch hingewiesen haben. Denn die in vielen Webseiten per Klartext integrierten Schlüssel für den Zugriff auf Googles Cloud-Dienste wie Maps oder Firebase werden vielfach auch für Gemini verwendet. Mit diesen öffentlich sichtbaren API-Keys können Unbefugte die Google-KI nicht nur verwenden und somit Kosten verursachen, sondern auch auf zu Gemini hochgeladene Dokumente und Datensätze zugreifen – ein Datenschutz- und Sicherheitsproblem. Ein Entwickler musste dies bereits erleiden, denn Googles Cloud-Rechnung seines Start-ups hat sich plötzlich vervielfacht, weil jemand die Schlüssel missbraucht hat: Googles ungeschützte API-Keys wegen Gemini-KI ein Sicherheits- und Kostenrisiko.

Risiken gingen auch vom weltweit agierenden Datenleak-Forum LeakBase aus, sodass Behörden aus 14 Ländern, darunter Deutschland, dieses unter der Leitung von Europol abgeschaltet, die zugehörigen Domains beschlagnahmt und mehrere Personen festgenommen haben. Mit mehr als 142.000 Mitgliedern gilt die LeakBase-Datenbank als eines der weltweit größten Online-Foren für Cyberkriminelle zum Kauf und Verkauf gestohlener Daten und Tools für Cyberangriffe. Angeboten wurden Kredit- und Debitkartennummern, Bankverbindungsdaten, Benutzernamen und zugehörige Passwörter, sensible Geschäfts- und personenbezogene Daten, die zum Teil bei aufsehenerregenden Cyberangriffen erbeutet wurden. Jetzt wurden Maßnahmen gegen 37 Personen durchgeführt wegen Cybercrime: Behörden schalten das Datenleak-Forum LeakBase ab.

Europol hat parallel dazu auch die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Bei dieser international koordinierten Strafverfolgungsaktion wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet. Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. Damit wurden monatlich zig Millionen Phishing-E-Mails generiert, wodurch unbefugter Zugriff auf fast 100.000 Organisationen weltweit ermöglicht wurde: Europäische Strafverfolger zerschlagen Phishing-Plattform.

In Deutschland hat das Bundesverwaltungsgericht (BVerwG) die Klage auf „Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, gegen den Bundesnachrichtendienst (BND) als unzulässig verworfen. In dem Verfahren ging es um die Frage, ob die oberste Datenschutzaufsicht des Bundes ihre Kontrollrechte gegenüber dem Auslandsnachrichtendienst gerichtlich durchsetzen kann. Die BfDI hatte mit der Klage klären wollen, ob sie bei verweigerter Einsicht durch den BND den Rechtsweg beschreiten darf. Nach der Entscheidung des BVerwG ist das nicht der Fall. Die BfDI sorgt sich nun um kontrollfreie Räume und fordert eine Gesetzesänderung: BfDI kann Kontrolle des BND nicht einklagen und warnt vor weitreichenden Folgen.

In der heutigen Ausgabe der #heiseshow besprechen wir Anthropics KI-Clinch mit der US-Regierung, nachdem das Pentagon zu OpenAI gewechselt ist und Anthropic als Sicherheitsrisiko einstuft. Wie weit darf KI im militärischen Einsatz gehen? Derweil dreht sich auf dem MWC in Barcelona in diesem Jahr vieles um künstliche Intelligenz – in Smartphones, Netzwerken und Geräten aller Art. Welche Ankündigungen könnten im Alltag wirklich relevant werden? In Kenia erfahren Clickworker bei der Daten-Annotation, was Nutzer durch Metas Ray-Ban-Brillen sehen, auch intime Aufnahmen. Wissen Nutzer wirklich, was mit ihren Brillenaufnahmen passiert? Wer trägt die Verantwortung? Das sind die Themen heute um 17 Uhr live in der #heiseshow: Anthropic vs. Pentagon, Mobile World Congress, Intimsourcing.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Auch noch wichtig:

• Leicht, bunt, iPhone-Chip, US-Kampfpreis – mit dem MacBook Neo schlägt Apple einen neuen Weg ein, bei kleineren wie größeren Kompromissen: Apple will mit buntem MacBook Neo den Laptop-Markt aufwirbeln.
• Eine weitere Live-Service-Wette, die nicht aufgegangen ist: Der Online-Shooter „Highguard“ hält nur sechs Wochen durch. Am 12. März wird er abgeschaltet, nur sechs Wochen nach Release: „Highguard“ wird abgeschaltet.
• Abstraktion gilt in der Softwareentwicklung als Tugend. Dabei zeigt die Praxis, dass falsche Abstraktionen mehr Schaden anrichten als gar keine: Abstraktion bei Softwareentwicklung ist überbewertet.
• Der finnische Reifenhersteller Nokian Tyres hat einen adaptiven Winterreifen entwickelt, der bei Kälte automatisch Spikes ausfährt: Neuer Winterreifen fährt bei Eis und Schnee Spikes aus.
• Videos, die mit Metas smarten Brillen aufgenommen werden, landen im Zweifel bei KI-Clickworkern in Kenia. Verhindern lässt sich das kaum: Clickworker sehen Sexvideos von Metas Ray-Bans.
• Mit neuen gemeinsamen Kanälen wollen ARD und ZDF Inhalte bündeln und mehr Zuschauer einbinden. Was die Reform für das Programm bedeutet: ARD und ZDF stellen drei Sender ein – neue Bündelung geplant.
• Eine Dokumentenverwaltung wie paperless-ngx hilft dabei, Dokumente aller Art zu organisieren. Mit einem verbundenen KI-Sprachmodell geht das noch besser, wenn man paperless-ngx mit einem Sprachmodell verbindet: Dokumente mit KI verwalten.
• Ein früherer Prime-Video-Manager soll die KI-generierte Tilly Norwood weiterentwickeln und ein ganzes Universum künstlicher Charaktere etablieren: Amazon-Manager soll umstrittene KI-Schauspielerin zum Franchise ausbauen.
• VW-Betriebsratschefin Daniela Cavallo fordert, Marken wie Audi und Porsche stärker zu kontrollieren. Wolfsburg müsse wieder Dreh- und Angelpunkt werden: VW-Betriebsrat kritisiert „Kraut und Rüben“ im Konzern.
• Wenn KI-Agenten menschliche Mitarbeiter ersetzen, was passiert dann mit Softwarelizenzen? Laut Berichten schnürt Microsoft ein passendes Abopaket für M365, denn auch KI-Agenten müssen zahlen: Microsoft soll neue Abostufe für M365 planen.

(fds)