Twitter bestätigt Datenleck: 5,4 Millionen Nutzer betroffen

Twitter
30.000 US-Dollar wollte der Angreifer für die Datensätze haben. (Quelle: IMAGO / NurPhoto)

Mithilfe einer Sicherheitslücke haben Kriminelle Datensätze von 5,4 Millionen Twitter-Nutzerinnen und Nutzern sammeln können. Sie boten die Informationen anschließend zum Kauf an. Twitter hat den Vorfall nun bestätigt.

In einem Blog-Eintrag vom vergangenen Freitag schreibt Twitter, die Lücke hätte seit Juni 2021 existiert und sei die Folge eines Updates gewesen. Das Unternehmen erfuhr aber erst am 1. Januar 2022 von dem Problem, als ein Sicherheitsexperte die Schwachstelle an Twitter meldete und dafür von dem Unternehmen im Rahmen des Bug-Bounty-Programms eine Belohnung von über 5000 US-Dollar erhielt – so wie es in der IT-Sicherheitsbranche üblich ist.

Der Kurznachrichtendienst schloss die Lücke eigenen Angaben zufolge “unverzüglich” – am 13. Januar. “Zu diesem Zeitpunkt hatten wir keine Anhaltspunkte dafür, dass jemand die Sicherheitslücke ausgenutzt hatte”, erklärt Twitter im Blog-Eintrag.

Diese Einschätzung stellte sich als falsch heraus, als Twitter-Nutzerdaten im Juni 2022 in einem Forum zum Kauf angeboten wurden. Twitter selbst habe auch erst durch Presse-Berichte im Juli 2022 von den entwendeten Daten erfahren.

Bug in den Sicherheitseinstellungen

Die ausgenutzte Sicherheitslücke ermöglichte es jedem, eine E-Mail-Adresse oder Telefonnummer beim Anmeldeprozess einzugeben, um zu überprüfen, ob sie mit einem Twitter-Konto verbunden war. Twitter gab bei einem Treffer die zugehörige Konto-ID preis – auch wenn diese Funktion in den Sicherheitseinstellungen des Kontos deaktiviert war.

Mithilfe der ID konnte der Angreifer weitere öffentliche Informationen zu dem jeweiligen Konto abrufen. Dadurch konnten auch unter Pseudonym angemeldete Nutzer identifiziert werden.

Zum Kauf angeboten wurden die 5,485 Millionen Twitter-Nutzerdatensätzen auf der Plattform “Breached Forums”, wie das IT-Sicherheitsportal RestorePrivacy berichtet. Die Webseite hatte Ende Juli die Echtheit der Datensätze bestätigt und gemeldet, dass sie unter anderem Nutzer- und Klarnamen sowie Telefonnummern und E-Mail-Adressen enthielten. Der Verkäufer verlangte auf Anfrage 30.000 US-Dollar für die Informationen und bestätigte, die besagte Sicherheitslücke im Januar ausgenutzt zu haben.

Nutzer wehrlos

Twitter will nun betroffene Nutzer informieren. Allerdings sei es dem Dienst nicht möglich, alle potenziell betroffenen Konten zu identifizieren. Seitens der Nutzer seien keine Maßnahmen zu ergreifen, Passwörter wurden nicht entwendet.

Stattdessen gibt Twitter allgemeine Tipps zum Schutz von Nutzerkonten: “Um Ihre Identität so verschleiert wie möglich zu halten, empfehlen wir, Ihrem Twitter-Konto keine öffentlich bekannte Telefonnummer oder E-Mail-Adresse hinzuzufügen.”

Nutzer sollten außerdem die Zwei-Faktor-Authentifizierung aktivieren. In der Twitter-App findet sich die Einstellung im Menü unter “Einstellungen und Datenschutz → Sicherheit und Account-Zugriff → Sicherheit → Zwei-Faktor-Authentifizierung”. So sinnvoll diese Sicherheitsmaßnahme auch ist, um den Zugriff auf das eigene Konto abzusichern: Vor dem aktuellen Datendiebstahl hätte sie nicht geschützt. (hcz)