Weltnachrichten
Hackerinnen erhielten Twitter-DMs für 36 hochkarätige Kontoinhaber
Hack enthüllte auch Telefonnummern, E-Mail-Adressen und andere PII für 130 Benutzer.
Hackerinnen hat im epischen Kompromiss von Twitter in der vergangenen Woche auf Direktnachrichten für 36 hochkarätige Kontoinhaber zugegriffen. Einer der betroffenen Benutzer war ein gewählter Beamter aus den Niederlanden, teilte das Social-Media-Unternehmen am späten Mittwoch mit. Das Unternehmen sagte auch, dass die Eindringlinge E-Mail-Adressen, Telefonnummern und andere persönliche Informationen für alle 130 entführten Konten anzeigen konnten.
Die Übernahme des Massenkontos wurde am vergangenen Mittwoch bekannt, als einige der bekanntesten Prominenten, Politiker und Führungskräfte der Welt damit begannen, Links zu Bitcoin-Betrug zu twittern. Zu den wenigen Kontoinhabern gehörten Vizepräsident Joe Biden, Philanthrop und ehemaliger Microsoft-Gründer, CEO und Vorsitzender Bill Gates, Tesla-Gründer und CEO Elon Musk sowie Popstar Kanye West. Einige Stunden später sagten Twitter-Beamte, der Vorfall sei darauf zurückzuführen, dass sie die Kontrolle über ihre internen Verwaltungssysteme an Hacker verloren hätten, die einen oder mehrere Mitarbeiter des Unternehmens entweder bezahlt, betrogen oder gezwungen hätten. Die Beamten sagten, sie würden alle anderen böswilligen Aktivitäten offenlegen, die die Verantwortlichen möglicherweise unternommen haben, als die Untersuchung fortgesetzt wurde.
Eine atemberaubende Wirkung
Die Entdeckung, dass einige der einflussreichsten Menschen der Welt ihre persönlichen Nachrichten wahrscheinlich von unbekannten Hackern lesen ließen, wird Twitter stärker unter Druck setzen, seine Benutzer besser zu schützen. Der US-Senator Ron Wyden, ein Demokrat, der Oregon vertritt, sagte in einer Erklärung letzte Woche, er habe CEO Jack Dorsey dazu gedrängt, Direktnachrichten mit End-to-End-Verschlüsselung zu schützen, was verhindern würde, dass Twitter und andere Personen als der Absender und der Empfänger dies tun in der Lage, sie zu lesen.
„Twitter-DMs sind immer noch nicht verschlüsselt, sodass sie für Mitarbeiter anfällig sind, die ihren internen Zugriff auf die Systeme des Unternehmens missbrauchen, sowie für Hacker, die nicht autorisierten Zugriff erhalten“, schrieb Wyden. „Wenn Hacker Zugang zu den DMs der Benutzer erhalten, könnte dieser Verstoß über Jahre hinweg atemberaubende Auswirkungen haben.“
Telefonnummern, E-Mail-Adressen und mehr
Ein Blog-Beitrag, der am Mittwoch aktualisiert wurde, fügte hinzu, dass die Kontoentführer persönliche Informationen anzeigen konnten, einschließlich Telefonnummern und E-Mail-Adressen, die mit den Konten verknüpft waren. Das Unternehmen erwähnte nicht, welche anderen persönlichen Daten – wie Wörter oder Benutzer, die der Kontoinhaber stummgeschaltet oder blockiert hatte – Hackern zur Verfügung standen.
Eine Twitter-Sprecherin lehnte es ab, zusätzliche Informationen bereitzustellen, einschließlich der Identität der Benutzer, auf deren Direktnachrichten zugegriffen wurde, oder anderer Arten von persönlichen Informationen, die offengelegt wurden.
Im Update vom Mittwoch heißt es außerdem: „Angreifer konnten frühere Kontokennwörter nicht anzeigen, da diese nicht im Klartext gespeichert oder über die im Angriff verwendeten Tools verfügbar sind.“ „Vorherige Passwörter“ bezogen sich auf die Passwörter, die verwendet wurden, bevor Hacker sie änderten. In dem Update wurden keine Passwörter erwähnt, die kryptografisch gehasht wurden, und ob die Entführer die Möglichkeit hatten, sie zu erhalten. Im Hintergrund sagte ein Twitter-Vertreter, die Angreifer hätten keine Passwörter im Hash- oder Klartextformat gesehen.
In früheren Updates der letzten Woche hat Twitter zusätzliche Details bereitgestellt, darunter:
Hacker haben wahrscheinlich versucht, den Zugang zu entführten Twitter-Konten mit begehrten Benutzernamen wie @ 6 zu verkaufen
Bei bis zu acht der gefährdeten Konten wurden Informationen über das Twitter-Tool „Ihre Twitter-Daten“ abgerufen. Keines dieser Konten wurde überprüft
Angreifer twitterten von 45 verifizierten Konten, zu denen neben den oben genannten Inhabern auch Jeff Bezos, Barack Obama und Apple gehörten
Das Unternehmen arbeitet mit den Strafverfolgungsbehörden zusammen, zu denen laut Reuters auch das FBI gehört
Twitter hat noch einige andere wichtige Fragen zu beantworten. Dazu gehört, ob die an dem Angriff beteiligten Mitarbeiter oder Hacker Hintertüren hinterlassen haben, die in Zukunft ähnliche Verstöße zulassen könnten. Unbeantwortet bleibt auch, wenn das Unternehmen einen Mechanismus eingerichtet hat, z. B. die Anforderung, dass mehrere Mitarbeiter separate Kennwörter bereitstellen müssen, um Verwaltungsbereiche freizuschalten.
In den letzten zehn Jahren hat sich Twitter zu einem Kanal entwickelt, über den Präsident Trump, andere führende Persönlichkeiten der Welt und unzählige Regierungsbehörden sowohl offizielle Politik als auch inoffizielles Vitriol kommunizieren. Bei so viel auf dem Spiel stehen Verstöße, die es Angreifern ermöglichen, sich als Benutzer auszugeben und auf ihre privaten Nachrichten und Informationen zuzugreifen, zu ernsthaften nationalen Sicherheitsbedenken, die das Unternehmen noch nicht ausgeräumt hat.
