Zu Weihnachten tauchte in einem Cybercrime-Forum eine Kostprobe sensibler Twitter-Daten auf. Ein User behauptete damals, persönliche Informationen wie E-Mail-Adressen und Telefonnummern von insgesamt 400 Millionen Twitter-Usern erbeutet zu haben – und forderte Elon Musk unter Androhung der Veröffentlichung zum Rückkauf auf. Eine Forderung, der der Neo-CEO nicht gefolgt zu sein scheint. Gegenüber "Bleeping Computer" hat der Angreifer inzwischen bekanntgegeben, dass der Datensatz um 200.000 Dollar zum Kauf stehe.

Die Ansammlung an Userdaten stammt nicht aus einem Hack. Stattdessen soll eine inzwischen geschlossene Sicherheitslücke das sogenannte Scraping, also das Zusammenkratzen öffentlich verfügbarer Informationen, ermöglicht haben, berichtet "The Register". Unter den Betroffenen würden sich laut dem israelischen Sicherheitsunternehmen Hudson Rock auch prominente Persönlichkeiten wie die US-Politikerin Alexandria Ocasio-Cortez, Ex-Präsident Donald Trump, Google-Chef Sundar Pichai und Apple-Mitgründer Steve Wozniak befinden.

Verifizierung nur teilweise möglich

Die Echtheit von einem Teil der veröffentlichten Daten konnte Hudson Rock bereits bestätigen. Es sei allerdings nicht möglich zu verifizieren, dass der Angreifer tatsächlich die Informationen von 400 Millionen Kontoinhabern anbietet.

Der Forenbeitrag tauchte am 23. Dezember auf und wurde von einem User veröffentlicht, der sich selbst Ryushi nennt. Dieser forderte Musk explizit dazu auf, die Daten zurückzukaufen, um keine mit Facebook vergleichbare Millionenstrafe wegen Datenschutzverletzungen bezahlen zu müssen. Im April letzten Jahres tauchten Telefonnummern, Standortdaten und Geburtstage von 533 Millionen Facebook-Nutzern auf, wie "The Verge" berichtete.

Nicht das erste Datenleck

Twitter steht in Europa bereits wegen eines Vorfalls vom August unter Beobachtung. Damals wurde bekannt, dass eine Zero-Day-Sicherheitslücke den Diebstahl von Account-Informationen von 5,4 Millionen Nutzerinnen und Nutzern ermöglichte. Dadurch konnten die Angreifer E-Mail-Adressen und Telefonnummern einem spezifischen Nutzernamen zuordnen. Anschließend hätten diese laut "Bleeping Computer" weitere Informationen abgreifen können. Auch damals wurden die erbeuteten Daten zum Verkauf angeboten. Die irische Datenschutzbehörde hat nun eine Untersuchung des Vorfalls angekündigt. (red, 28.12.2022)