Twitter muss zugeben, dass zahlreiche Nutzer-Konten gehackt worden sind

Twitter informierte seine Nutzer am Freitag über eine Sicherheitslücke, die es "einem böswilligen Akteur" ermöglicht hatte, die persönlichen Daten von Kontoinhabern zu entwenden und zu verkaufen. Die Anzahl der kompromittierten Konten gab der Technologieriese zwar nicht an, aber Medienberichte besagen, dass mehr als 5 Millionen Nutzer betroffen sein könnten.

Durchgesickertes Dokument enthüllt, welche Messenger die meisten Daten an das FBI senden

In der Stellungnahme des Unternehmens heißt es, dass die Schwachstelle im System, die als Resultat eines System-Updates vom Juni 2021 entstand, es ermöglichte, eine E-Mail-Adresse oder Telefonnummer einzugeben um so zu erfahren, ob eines von beiden mit einem bestimmten Twitter-Konto verknüpft ist.

Twitter hat diese Schwachstelle Anfang 2022 zwar beseitigt, entnahm jedoch im Juli aus einem Pressebericht, dass "jemand diese Schwachstelle möglicherweise nutzen konnte und die von ihm zusammengetragenen Informationen zum Kauf anbot".

"Nachdem wir in Stichproben die zum Verkauf angebotenen Daten überprüft hatten, bestätigen wir, dass ein böswilligen Akteur die Schwachstelle ausnutzen konnte, bevor wir sie beseitigen konnten", erklärte Twitter.

Das Unternehmen versprach, die Eigentümer der betroffenen Konten zu kontaktieren, die von diesem "unglücklichen" Vorfall betroffen sind. Twitter räumte jedoch ein, dass es unmöglich sei, jedes potenziell kompromittierte Konto zu bestätigen. Das Unternehmen betonte zudem, dass es "sein Augenmerk besonders auf Personen mit Konten legt, die pseudonymisiert sind und die von staatlichen oder anderen Akteuren ins Visier genommen werden können".

Obwohl keine Passwörter offengelegt wurden und die Nutzer selber nichts unternehmen müssen, um diesem speziellen Problem zu begegnen, hat Twitter eine Reihe von Empfehlungen zum Schutz von Konten herausgegeben. Die Inhaber pseudonymisierter Konten wurden davor gewarnt, ihre Nutzerkonten mit öffentlichen und bekannten Telefonnummern oder E-Mail-Adressen zu verknüpfen, während allen Benutzern empfohlen wird, die Zwei-Faktor-Authentifizierung zum Schutz ihrer persönlichen Daten zu aktivieren.

Ende Juli enthüllte die Webseite RestorePrivacy, dass ein Hacker, der unter dem Benutzernamen "devil" (Teufel) agierte, auf einem bekannten Hacking-Forum eine Datenbank mit den persönlichen Daten von 5,4 Millionen Twitter-Nutzern zum Verkauf angeboten hatte, darunter "Promis, Firmen, normale Nutzer, usw."

"Als würde die Post alle Briefe öffnen" – Chat-Überwachungsgesetz der EU soll Ende März kommen

Als der Hacker von RestorePrivacy kontaktiert wurde, sagte dieser, dass er mindestens 30.000 US-Dollar für die Datenbank verlange, die er, wie er betonte, aufgrund der "Inkompetenz von Twitter" zusammenstellen konnte. Er enthüllte auch, dass der genaue Mechanismus, mit dem er den Systemfehler ausnützen konnte, im einem Bericht der HackerOne Webseite vom vergangenen Januar erklärt wurde, von einem Benutzer der sich "zhirinovskiy" nennt und der Twitter als erster über die Schwachstelle alarmiert hatte. Twitter habe sich bei "zhirinovskiy" dafür bedankt, dass er "mitgeholfen hat, Twitter sicherer zu machen" und zahlte ihm ein Prämie von 5.040 US-Dollar für seine Ermittlungen aus.

Der Vorfall ist nicht der erste, bei dem persönliche Daten von Twitter-Nutzern kompromittiert wurden. Im Juli 2020 leitete das FBI eine Untersuchung wegen eines Bitcoin-Betrugs ein, bei dem "viele prominente Twitter-Konten", darunter die von Elon Musk, Bill Gates, Barack Obama und Kim Kardashian gehackt wurden. Twitter sagte damals, es habe "erhebliche Schritte" unternommen, um den Angriff bösartiger Akteure auf seine internen Systeme abzuwehren.

Mehr zum Thema - "Ein harter Tag für uns": Hacker nutzen Twitter-Konten von Prominenten für Bitcoin-Betrug