Im Internet ist ein Datensatz mit Angaben von einer riesigen Anzahl an Twitter-Konten frei verfügbar. Alon Gal, Mitbegründer des israelischen IT-Sicherheitsunternehmens Hudson Rock, entdeckte kürzlich, dass Aufzeichnungen von 235 Millionen Usern des Kurznachrichtendienst sowie die für die Registrierung verwendeten E-Mail-Adressen in einem Online-Hackerforum veröffentlicht wurden.
«Das ist eines der grössten Lecks, die ich je gesehen habe», schrieb Gal in seinem Post auf Linkedin, in dem er auf den Daten-Leak aufmerksam machte. Er sei sich sicher, dass Hacker, politische Aktivisten und Regierungen die Datenbank würden, um «unsere Privatsphäre noch weiter zu verletzen», sagte er gegenüber der «Washington Post».
Der Datensatz führt die E-Mail-Adressen oder Telefonnummern, die Benutzernamen und den Klarnamen der gehackten Twitter-Konten auf. Eine Überprüfung der Daten durch Bloomberg News zeigt, dass auch die Anzahl der Follower und das Erstellungsdatum eines jeden Kontos gelistet sind. Betroffen sind unter anderem Politiker, Journalisten und Banker. Sensible Daten wie Kreditkarteninformationen, Sozialversicherungsnummern oder Privatadressen sind im Datensatz nicht enthalten.
Hack war bereits Ende 2021
Die Twitter-Informationen stammen laut der Einschätzung des Sicherheitsexperten Gal von einem Datenklau im Dezember 2021. Hacker nutzten damals eine Schwachstelle im System des Kurznachrichtendiensts aus. Aussenstehenden war es möglich, mittels E-Mail-Adresse oder Telefonnummer dazugehörige Twitter-Konten zu finden. Diese Abfragen konnten automatisiert werden, um fast unendlich lange Listen von E-Mail-Adressen oder Telefonnummern zu überprüfen.
Bereits im letzten Juli flogen Hacker auf, die 5,4 Millionen Twitter-Konten mit den dazugehörigen E-Mail-Adressen oder Telefonnummern verkaufen wollten. Die Täterschaft soll die gleiche Sicherheitslücke genutzt haben wie jene beim jetzigen Leak. Twitter reagierte im vergangenen August mit der Erklärung, dass das Unternehmen im Januar 2022 von der Schwachstelle erfahren habe. Diese sei versehentlich durch ein Update im Herbst 2021 entstanden. Mittlerweile sei die Lücke geschlossen.
Twitter im Visier der Behörden
Die Veröffentlichung der durchgesickerten Daten in dieser Woche erfolgt inmitten von laufenden Ermittlungen gegen Twitter in den USA und in Europa. Die irische Datenschutzkommission erklärte im vergangenen Monat, sie untersuche den Vorfall mit den Daten von 5,4 Millionen Twitter-Nutzern und überprüfe, ob Twitter dabei gegen die europäische Datenschutzverordnung verstossen habe.
Unabhängig davon hat auch die US-Bundesbehörde Federal Trade Commission Ermittlungen gegen den Kurznachrichtendienst aufgenommen.
(bloomberg/mth)
Wie schütze ich mich?
- Wenn Sie glauben, dass Ihr Konto kompromittiert worden sein könnte oder wenn Sie einfach nur besonders sicher sein wollen, ändern Sie Ihr Twitter-Passwort, während Sie eingeloggt sind, unter der Registerkarte «Kontoeinstellungen». Auf der gleichen Registerkarte können Sie auch Ihre E-Mail-Adresse ändern.
- Verwenden Sie immer ein sicheres Passwort und vermeiden Sie die Wiederholung von Passwörtern, die Sie bereits anderswo verwendet haben oder die leicht zu erraten sind.
- Melden Sie sich für die Zwei-Faktor-Authentifizierung an, die Twitter anbietet. Dies ermöglicht eine zweite Überprüfung der Anmeldung, die es böswilligen Akteuren sehr viel schwieriger macht, in Ihr Konto einzudringen.
- Für diejenigen, die ein pseudonymes Twitter-Konto betreiben, empfiehlt das Unternehmen, keine öffentlich bekannte Telefonnummer oder E-Mail-Adresse zu ihrem Twitter-Konto hinzuzufügen, um ihre Identität so verschleiert wie möglich zu halten.
- Wenn Sie herausfinden möchten, ob Ihre Twitter-Daten betroffen sind, können Sie das auf der Website von «Have I Been Pwned» machen. Der Dienst prüft anhand der E-Mail-Adresse eines Nutzers, ob persönliche Daten bei Hacks kompromittiert wurden.