cloud based CI/CD issues – travis-ci

Travis-CI published a security bulletin the other day, describing a special condition that would allow to access secrets belonging to a foreign repository in Github or Bitbucket. The condition requires a fork from a public repository. That’s how open source work, and very central functionality. Not a corner case.

Turns out, the cloud service did address the issue, still plenty of secrets have been affected:

While cloud technology is all great economically, this is another sample of why commercial software vendors need to consider third party vendors in their threat profiles.

AI Wrote Better Phishing Emails

Phishing Email (from the article)

WIRED schreibt, dass es Forschern gelungen ist, mit Hilfe von GPT3, dem Generative Pre-trained Transformer 3 ML Netzwerk, Phishing Mails zu erzeugen, die deutlich wirksamer sind als von Menschen geschriebene Mails.

Endlich ein Einsatzbereich für AI, der sich auch ohne VC Geld lohnt.

Source: AI Wrote Better Phishing Emails Than Humans in a Recent Test | WIRED

Amazon schaltet NSO ab

heise schreibt, dass Amazon NSOs, das ist der Hersteller der Pegasus Spyware, Infrastruktur abschaltet und deren Accounts löscht.

Nun bin ich sicher kein Freund von so fraglicher Software und ganz sicher kein Unterstützer der dazugehörigen Hersteller.

Allerdings ist an der Stelle auch ein anderes Problem deutlich: die Abhängigkeit unabhängiger Hersteller vom Wohlwollen von Cloud-Providern. Soweit ich die Berichterstattung übersehe ist der Vorgang durch die (berechtigte) Beschwerde von Medien und Aktivisten eingeitet worden. Weder bei Heise noch bei dem zitierten Artikel des Vice Magazin ist eine weitere Erklärung zu finden. Mindestens wäre ein Verstoß gegen “Acceptable Use Policies” in der Stellungnahme zu erwarten, oder besser ein Richterspruch.

So haben private Unternehmen die Rolle von Staaten übernommen, der global in der Digitalisierung immer noch um eine angemessene Rolle ringt.

Heise Artikel: www.heise.de/amp/news/Spyware-Pegasus-Amazon-kappt-NSO-Infrastruktur-und-loescht-Accounts-6142529.html

Clubhouse leakt 3,8 Milliarden Telefonnummern

Cloubhouse
Clubhouse App (source: future zone.at)

Clubhouse. Das war diese App, die vor einem halben oder ganzen Jahr so unglaublich gehyped worden ist. Man kam nicht rein, das war Invite Only. Man kam nicht von alleine rein, cool waren nur die, die drin waren. Alle in meiner Bubble hatten FOMO, Fear Of Missing Out.

Diesen menschlichen Effekt haben vor 15 Jahren schon Facebook und Google mit seinem Mail Produkt sehr erfolgreich bedient. Das Ergebnis war, dass JEDER unbedingt eine Einladung wollte. Und mit Erhalt der gleichen wirklich äußerst bereitwillig Ihre Adressbücher freigegeben haben.

Für die Experience.

Zwischenzeitlich kann man verbale Ansprachen auch auf Twitter halten und kein Hahn kräht mehr nach Clubhouse.

Trotzdem sind der App jetzt 3,8 Milliarden Telefonnummern weggekommen. Und so wies aussieht seid Ihr auch dabei, wenn Ihr jemanden kennt, der das damals toll fand.

via futurezone.at

Privacy on the Net

Screenshot from the ad

As advertised by Apple. The company introduced a feature called “App tracking transparency”, that defaults to “do not allow tracking” as of version 14.5, that was released earlier this year. The feature allows device-owners to control which apps can track user behaviour across multiple websites.

Apple App Tracking Transparency Ad

Reality is more complex, as always, but it’s still a great ad.

The Instagram ads Facebook won’t show you

Signal, the company offering secure and private messaging, tried to advertise on Facebook. Naturally, the company tried to drive their value in privacy. They chose to point out the implications Facebook’s businesmodel has for these values.

Apparently Facebook didn’t like the ads.

Signal App Ad.
Signal ad

Source: Signal >> Blog >> The Instagram ads Facebook won’t show you

DuckDuckGo calls out Google for spying on users.

When Apple introduced labels in their app store to indicate which data an app would link to user information it created transparency for many. Only Google seemed to stop on moving forward and did not publish new versions of its apps. Until recently. Now that they are updated, DuckDuckGo, a search engine advocating privacy in the digital age, calls out the abundant use of personal data.

Palantir founding member of Gaia-X

Palantir is an US based company specialising in Big Data, with a very particular focus on decision making for governental and corporate situations. The companies products have inspiring names like Gotham or Metropolis and have sparked ethical controversies, when it comes to their usage. In particular these two products provides capabilities to military and police, paving the way to what is referred to predictive policing. The company now is a founding member of Europe’s Gaia-X program, which Evgeny Morozov points out, is not compatible with European data sovereignty ideas.