Ein Datenleck bei Twitter hat es Angreifern ermöglicht die Kontaktdaten von rund 5,5 Millionen Konten zu erlangen. Durch eine Sicherheitslücke gelang es den Tätern an die Telefonnummern und Emailadressen der Twitter-Konten zu kommen. Jetzt tauchten die gestohlenen Daten in einem Hackerforum zum Verkauf auf. 30.000 Euro sollen die Datensätze kosten, wie Restore Privacy berichtet.

Als Verkäufer tritt ein gewisser "devil" auf. Laut dessen Angaben sollen sich in den gestohlenen Daten auch Telefonnummern von Prominenten, Politikern und Unternehmen befinden. Der Verkäufer rühmt sich damit exakt 5.485.636 Datensätze gestohlen zu haben. Als Beweis für die Echtheit der Daten postete "devil" laut der Plattform Bleeping Computer ein Art Kostprobe eines Datensatzes.

Sicherheitslücke war seit 1. Jänner bekannt

Bleeping Computer haben daraufhin mit "devil" Kontakt aufgenommen und erfahren, dass die Hacker wohl eine Sicherheitslücke in dem Sozialen Netzwerk ausgenutzt haben. Demnach dürften die Daten im Dezember 2021 erbeutet worden sein. Twitter selbst wurde durch die vom Ethical-Hacker-Kollektiv Hackerone am 1. Jänner 2022 auf die Sicherheitslücke aufmerksam gemacht, woraufhin diese am 13. Jänner geschlossen wurde.

"Die Schwachstelle hat es möglich gemacht ohne Authentifizierung die Twitter-ID (die fast gleichbedeutend mit dem Abrufen des Benutzernamens eines Kontos ist) der Nutzer nur durch die Übermittlung einer Telefonnummer zu erhalten", berichtet der Ethical Hacker "zhirinovskiy". Die Lücke bestand laut dessen Informationen im Android-Client von Twitter und ähnelt jener Sicherheitslücke, die es Hackern im Jahr 2021 ermöglichte die Daten von 533 Millionen Facebook-Usern abzugreifen.

Schlechte Nachrichten für Nutzer

Fünf Tage nach dem Bekanntwerden der Sicherheitslücke gab Twitter bekannt, dass es "ein begründetes Sicherheitsproblem" gebe. Twitter bedankte sich anschließend bei "zhirinovskiy" in Form einer Zahlung von 5.040 US-Dollar.

Wie 9toMac berichtet, dürfte der Angreifer die Daten früherer Angriffe benutzt haben um sie nun mit bestehenden Twitter-IDs zu verbinden. Die schlechte Nachricht für die Twitter-User: Aktuell gibt es keine Möglichkeit zu überprüfen, ob man selbst betroffen ist.

Die Nachricht über den Datenverlust kommt für Twitter zur Unzeit: Aktuell ist die Plattform mit dem Dauer-Streit um eine mögliche Übernahme durch Elon Musk und Rekordverlusten in den Negativ-Schlagzeilen. (pez, 23.7.2022)