Flurfunk - Palantir CTO zur CISA? Microsoft CVD-Eklat, Meta Instagram Chatbot “Hack”
カートのアイテムが多すぎます
カートに追加できませんでした。
ウィッシュリストに追加できませんでした。
ほしい物リストの削除に失敗しました。
ポッドキャストのフォローに失敗しました
ポッドキャストのフォロー解除に失敗しました
-
ナレーター:
-
著者:
In der neuen Folge von Breach FM melde ich mich aus Helsinki, wo es derzeit nicht dunkel wird, Max Imbiel darf glücklicherweise wieder im Homeoffice sein.
The Record from Recorded Future News berichtet, dass Shyam Sankar, CTO von Palantir und seit über 20 Jahren im Unternehmen, als führender Kandidat für die seit Januar 2025 vakante CISA-Direktorenstelle gilt. Das White House dementierte mit "at this time this is not accurate" – was kein Dementi ist. Relevant wird die Personalie vor allem im zeitlichen Zusammenhang mit der neuen KI-Executive-Order, die die CISA erstmals mit durchsetzungsfähigen Binding Operational Directives ausstattet. Von Cyber-Koordinator zur KI-Governance-Behörde – wir haben da kein gutes Bauchgefühl.
Das Kernthema bringt Max: der Nightmare-Eclipse-Eklat bei Microsoft. Der Researcher hat zwischen April und Mitte Mai sechs Windows-Zero-Days veröffentlicht – BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma – alle ohne vorherige Koordination. Microsoft reagierte mit juristischen Drohungen, ruderte nach Community-Aufschrei zurück. Drei Exploits wurden aktiv ausgenutzt und ins KEV aufgenommen. Adam Shostack, Mitbegründer von Microsofts eigenem Threat-Modeling-Ansatz, kritisierte den Umgang offen. Der Kernvorwurf: Microsoft hält sich selbst nicht an seinen CVD-Prozess – Researcher spielen Bugs jetzt lieber untereinander weiter. Der Schaden trifft alle Nutzer.
Dann der Meta-Instagram-"Hack": Angreifer nutzten den Meta-KI-Support-Chatbot, um einfach eine neue E-Mail-Adresse am Zielkonto zu hinterlegen – der Bot schickte den Reset-Code dorthin, ohne zu verifizieren. Mindestens 20.225 Konten betroffen, darunter der Obama-White-House-Account. Angriffsfenster: sieben Wochen. Moral: Schreibrechte gehören nicht in Chatbots im Authentifizierungsflow – und 2FA aktivieren.
Shyam Sankar / CISA-Nominierung (The Record) https://therecord.media/trump-considers-palantir-exec-to-lead-cisa
Nightmare Eclipse: alle sechs Zero-Days im Überblick https://cipherssecurity.com/nightmare-eclipse-microsoft-windows-zero-day/
Microsoft Statement zu CVD und Nightmare Eclipse https://cybersecuritynews.com/microsoft-clarifies-nightmare-eclipse-controversy/
Meta Instagram Chatbot-Hack (404 Media) https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/
Meta bestätigt 20.225 betroffene Konten https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/