Der US-Konzern Twitter hat am Freitag bestätigt, kürzlich Opfer eines Datenlecks gewesen zu sein. Durch eine mittlerweile geschlossene Zero-Day-Lücke konnten die Angreifer E-Mail-Adressen und Telefonnummern den dazugehörigen Nutzer-Accounts zuweisen. 5,4 Millionen Accounts sind laut Twitter betroffen.

Millionen Daten

"Im Jänner 2022 haben wir einen Bericht erhalten, dass durch eine Sicherheitslücke Angreifer Email-Adressen und Telefonnummern einem Account zuweisen konnten," wird ein Twitter-Sprecher in mehreren Medien zitiert. Der Fehler sei durch ein Update im Juni 2021 entstanden und sei mittlerweile behoben.

Wie "BleepingComputer" kurz nach dem Twitter-Statement berichtete, musste man offenbar bei Twitter nur prüfen, ob eine E-Mail-Adresse oder Telefonnummer registriert ist und bekam von dem Nachrichtendienst den passenden Nutzernamen zugeschickt. Mit dem Nutzernamen konnten dann zusätzliche Daten, die mit dem Account verbunden sind, gelesen werden. So entstanden im Dezember 2021 5,4 Millionen Profile, inklusive Login-Daten, Wohnort, Email-Adresse und vielem mehr.

Die Daten wurden kurz darauf im Netz für 30.000 Dollar zum Kauf angeboten. Offenbar fanden sich zwei Käufer und es wird davon ausgegangen, dass die Daten bald kostenlos zu finden sein werden.

Twitter will betroffene Nutzer kontaktieren und rät im Gespräch mit "BeepingComputer" erneut zu einer Zwei-Faktor-Authentifizierung. Passwörter seien bei dem Diebstahl nicht betroffen, dennoch sei eine zusätzliche Sicherheitsstufe empfohlen. Man solle sich in jedem Fall auch auf Phishing-Angriffe einstellen, die die gestohlenen Daten nutzen könnten. (red, 6.8.2022)