Beim Online-Buchungsportal Ferienwohnungen.de konnten Kriminelle offenbar im größeren Stil Daten entwenden, die sie inzwischen im Darknet veröffentlicht haben. Ein kurzer Countdown lief bis Donnerstagmittag, inzwischen steht auf dem Darknet-Auftritt „Published“ auf der Kachel. Dort lassen sich die veröffentlichen Daten direkt aufrufen.

Die Verzeichnisstruktur der veröffentlichten Daten deutet darauf hin, dass die Angreifer ein Backup vom 10. Juli 2025 aus einer Nextcloud-Instanz gezogen haben. Es finden sich Nutzerverzeichnisse, die ihrerseits eine Menge Daten enthalten. Es fallen den Dateinamen zufolge etwa Verträge mit Großkunden ins Auge, Rechnungsstellung, Informationen aus der Buchhaltung sowie offenbar auch Informationen zu den Angestellten des Portals. Aus der umfangreichen Dateiliste ließ sich nicht erkennen, ob auch Daten von Privatkunden des Portals dort lagern; offensichtliche SQL-Dumps oder Ähnliches scheinen nicht enthalten zu sein.

Keine Reaktion

Auf Anfrage von heise online hat Ferienwohnungen.de nicht reagiert, auch die dahinterstehende Holidu GmbH antwortete nicht darauf. Eine Anfrage beim Bayerischen Landesamt für Datenschutzaufsicht blieb bislang ebenfalls unbeantwortet.

Somit lässt sich derzeit nicht verifizieren, ob die Daten echt sind und wie weitreichend der Datenabfluss ist. Wer seinen letzten Urlaub dort gebucht hat, sollte zumindest besonders achtsam bei eingehenden Nachrichten sein – die auf der Nextcloud-Instanz lagernden Informationen reichen teils viele Jahre zurück und könnten Phishern helfen, eine authentischere Ansprache in die Nachrichten zu bringen. Da die Dateien Hinweise auf Schulungen durch Datenschutzbeauftragte nahelegen, sollten theoretisch zumindest keine Daten von Privatkunden dort liegen, die mehrere Jahre zurückreichen.

Vor etwa einer Woche wurde bekannt, dass Cyberkriminelle bei dem HR-Softwareanbieter Infoniqa eingedrungen sind und sensible Daten erbeuten konnten.

(dmk)

OpenAI, der Hersteller von ChatGPT hat in einem Blogpost angekündigt, seinen Chatbot sicherer machen zu wollen. Gleichzeitig hat das Unternehmen bekannt gegeben, dass es die Chats, die mit seinem Bot geführt werden, automatisch nach bestimmten Themen scannt. Manche Inhalte würden dann menschlichen Moderator*innen zur Prüfung vorgelegt.

In Fällen, in denen die Moderator*innen Dritte in Gefahr sehen, könnten die Chats auch an die Polizei weitergegeben werden, schreibt OpenAI. In Fällen von Selbstgefährdung würde die Polizei allerdings außen vor gelassen, aus Respekt vor der Privatsphäre der Betroffenen. Grund sei die „einzigartig private Natur“ der Interaktionen mit ChatGPT.

Tatsächlich vertrauen Nutzer*innen dem Chatbot intimste Details an – vermutlich ohne zu ahnen, dass Menschen diese Unterhaltungen einsehen können. „ChatGPT kennt alle meine Schwächen, Sorgen und Geheimnisse“, bekennt eine Autorin des Guardian. Das Sprachmodell wird zunehmend von Menschen wie eine befreundete Person behandelt oder für Dating-Tipps benutzt. Der Hersteller versuchte in der Vergangenheit bereits zu verhindern, dass ChatGPT als Freund*in oder Therapeut*in benutzt wird.

Der Ankündigung von OpenAI, seinen Chatbot sicherer machen zu wollen, war der Selbstmord eines kalifornischen Teenagers vorausgegangen. Dessen Eltern verklagen nun OpenAI. Der Chatbot habe dem Jugendlichen Methoden zur Selbsttötung empfohlen und angeboten, einen Abschiedsbrief für ihn zu verfassen.

Beide Verhaltensweisen von ChatGPT konnten in einer Studie reproduziert werden. Eine weitere Studie hat ebenfalls herausgefunden, dass es nicht schwer ist, von ChatGPT Anleitungen zur Selbstverletzung zu erhalten. Gleichzeitig vermeide der Chatbot es, direkt auf Fragen zu antworten, die sich mit der Suche nach therapeutischer Hilfe beschäftige, heißt es dort.

Der Fall des Kaliforniers ist nicht der erste Selbstmord, der in Zusammenhang mit ChatGPT gebracht wird. Zudem können die Chatbots wohl psychotische Gedanken fördern.

Neben der Durchsuchung der Chats und deren eventueller Weiterleitung, die laut OpenAI bereits praktiziert wird, plant das Unternehmen weitere Sicherheitsmaßnahmen. So arbeite es beispielsweise daran, dass der Chatbot auch in längeren Unterhaltungen sein Sicherheitstraining nicht vergisst.

Neben der potenziellen Selbstverletzung sollen vom Chatbot auch weitere psychische Belastungen besonders behandelt werden, so zum Beispiel der Glaube, ohne Pause Autofahren zu können. Menschen in psychischen Notlagen soll professionelle Hilfe vermittelt oder die Kontaktaufnahme mit Angehörigen nahegelegt werden. Und Eltern sollen mehr Kontrolle über die Chatbot-Nutzung ihrer Kinder erhalten können. Wann diese Maßnahmen umgesetzt werden sollen, gab das Unternehmen allerdings nicht bekannt.

Angreifer attackieren derzeit das freie GUI FreePBX für Telefonie- und VoIP-Umgebungen auf Asterisk-Basis. Ein Sicherheitspatch ist angekündigt, aber bisher nicht verfügbar. Bis dahin sollten Admins ihre Systeme mit einer Übergangslösung schützen.

Noch vieles unbekannt

Aus einem Beitrag eines Teammitglieds im FreePBX-Forum geht hervor, dass der Sicherheitspatch zeitnah erscheinen soll. Instanzen seien aber nur verwundbar, wenn das Admin-Panel über das Internet erreichbar ist. Außerdem klingt es so, als müsse das Endpoint-Modul installiert sein.

In so einem Fall setzen Angreifer am Interface an. Wie das konkret abläuft, ist bislang unklar. Derzeit gibt es auch keine weiterführenden Informationen zur Sicherheitslücke und welche Auswirkungen erfolgreiche Attacken haben. Auch eine CVE-Nummer und eine Einstufung des Schweregrads der Schwachstelle stehen noch aus.

Jetzt handeln!

Um den Ansatzpunkt für Angreifer zu beseitigen, beschreiben die FreePBX-Entwickler einen Workaround, den Admins ihnen zufolge umgehend ausführen sollten. Bis zum Erscheinen des Sicherheitsupdates müssen Admins prüfen, ob das Interface öffentlich erreichbar ist. Ist das gegeben, müssen sie über das FreePBX-Firewall-Modul den Zugriff auf alleinig ihre IP-Adresse reglementieren. Überdies muss sichergestellt sein, dass das aktuelle Endpoint-Modul installiert ist.

Weiterführende Informationen, wie Admins bereits attackierte Instanzen erkennen und wiederherstellen können, listen die Entwickler im Forumsbeitrag auf. Im Zuge dessen müssen Admins unter anderem Passwörter für ihre Systeme ändern und Backups einspielen.

Im Forum melden sich auch Betroffene. Ein Nutzer berichtet von kompromittierten Servern und rund 3000 attackierten SIP-Telefonen.

(des)