{"id":1589,"date":"2025-01-21T14:17:15","date_gmt":"2025-01-21T14:17:15","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1589"},"modified":"2025-01-21T14:17:15","modified_gmt":"2025-01-21T14:17:15","slug":"chatgpt-lucke-ermoglicht-ddos-attacken","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1589","title":{"rendered":"ChatGPT-L\u00fccke erm\u00f6glicht DDoS-Attacken"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\"> srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?quality=50&amp;strip=all 3696w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;\u00dcber eine HTTP-Anfrage an die ChatGPT-API k\u00f6nnen Angreifer eine Zielwebseite mit Tausenden Netzwerkanfragen bombardieren.\n<p class=\"imageCredit\">miss.cabul \u2013 Shutterstock.com<\/p>\n<\/div>\n<p>Der Sicherheitsforscher Benjamin Flesch hat k\u00fcrzlich herausgefunden, dass eine L\u00fccke im ChatGPT-Crawler f\u00fcr <a href=\"https:\/\/www.csoonline.com\/article\/3495864\/so-funktioniert-ein-ddos-angriff.html\">DDoS-Attacken<\/a> missbraucht werden kann. Demnach reicht eine einzige HTTP-Anfrage an die ChatGPT-API aus, um eine Zielwebsite mit Netzwerkanfragen des ChatGPT-Crawlers zu \u00fcberfluten.<\/p>\n<p>\u201eDie API erwarte eine Liste von Hyperlinks\u201c, erkl\u00e4rt der Experte. Jedoch werde nicht gepr\u00fcft, ob die Hyperlinks trotz leicht ver\u00e4nderter Schreibweise alle zur gleichen Ressource f\u00fchren. Zudem sei die maximale Anzahl \u00fcbergebener Hyperlinks nicht begrenzt. \u201eDies erm\u00f6glicht die \u00dcbertragung von vielen Tausend Hyperlinks innerhalb einer einzigen HTTP-Anfrage\u201c, so Flesch.<\/p>\n<p>Anschlie\u00dfend sende der ChatGPT-Crawler f\u00fcr jeden dieser Links eine HTTP-Anfrage an die jeweilige Zielwebseite, hei\u00dft es weiter im Forschungsbericht. Diese Anfragen laufen \u00fcber OpenAIs Server in der Microsoft-Azure-Cloud. \u201eDas Opfer wird nie erfahren, was ihm passiert ist, weil es nur sieht, dass der ChatGPT-Bot seine Website von etwa 20 verschiedenen IP-Adressen gleichzeitig aus angreift\u201c, kommentiert Flesch gegen\u00fcber dem News-Portal <a href=\"https:\/\/www.theregister.com\/2025\/01\/19\/openais_chatgpt_crawler_vulnerability\/\">The Register<\/a>. \u00a0Der Bot lasse sich selbst durch das Blockieren von Anfragen, etwa durch eine Firewall, nicht davon abbringen, die Webressource des Opfers weiterhin abzufragen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Bisher keine Reaktion von OpenAI<\/strong><\/h2>\n<p>Der Security-Spezialist moniert, dass OpenAI gar keine Ma\u00dfnahmen ergriffen hat, um die Anzahl der Anfragen an den gleichen Webserver zu limitieren. \u201cJe nach der Anzahl der Hyperlinks, die \u00fcber den Parameter urls an OpenAI \u00fcbermittelt werden, kann die gro\u00dfe Anzahl der Verbindungen von OpenAIs Servern die Webseite des Opfers \u00fcberlasten\u201d, warnt er in seinem <a href=\"https:\/\/github.com\/bf\/security-advisories\/blob\/main\/2025-01-ChatGPT-Crawler-Reflective-DDOS-Vulnerability.md\">Beitrag auf Github<\/a>.<\/p>\n<p>Nach eigenen Angaben hat Flesch das Sicherheitsproblem sowohl bei OpenAI als auch bei Microsoft gemeldet. Trotz mehrerer Kontaktversuche habe jedoch keiner der beiden Tech-Konzerne auf seine Anfragen reagiert. Auch Anfragen von The Register hat OpenAI bisher offenbar nicht beantwortet.<\/p>\n<p><a><\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?quality=50&amp;strip=all 3696w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2560810077.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;\u00dcber eine HTTP-Anfrage an die ChatGPT-API k\u00f6nnen Angreifer eine Zielwebseite mit Tausenden Netzwerkanfragen bombardieren. miss.cabul \u2013 Shutterstock.com Der Sicherheitsforscher Benjamin Flesch hat k\u00fcrzlich herausgefunden, dass eine L\u00fccke im [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":1590,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1589","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1589"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1589"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1589\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1590"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}