Datenleck bei Twitter: Cyberkrimineller bietet 5,4 Millionen Konten zum Verkauf

Ein Cyberkrimineller hat eine Sicherheitslücke bei Twitter ausgenutzt und sich zahlreiche Daten von knapp 5,5 Millionen Twitter-Nutzerkonten beschafft. Diese bietet er nun in einem einschlägigen Forum zum Verkauf an. Der Täter nutzte dafür eine Lücke des Anmeldeprozesses bei Twitter aus, den der Android-Client benutzt. Diese war im Januar dieses Jahres bekannt geworden und Twitter hat sie damals rasch geschlossen – offenbar jedoch nicht schnell genug. Das berichtet das Security-Portal RestorePrivacy.

Private Daten von Millionen Twitter-Nutzern zum Verkauf

Am Donnerstag dieser Woche tauchte auf der Hacking-Plattform "Breached Forums" das 'Angebot' von 5,485 Millionen Twitter-Nutzerdatensätzen auf. Der unter dem neuen Nutzerkonto "devil" auftretende Forumsteilnehmer bietet Datensätze unter anderem von Prominenten und Firmen an. Der Betreiber von "Breached Forums" bestätigte die Echtheit der angebotenen Daten.

RestorePrivacy untersuchte die mitgelieferte 'Probe': Sie enthält unter anderem Nutzer- und Klarnamen von Twitter-Nutzern weltweit, dazu Telefonnummern und E-Mail-Adressen, die eigentlich nicht öffentlich einsehbar sind. Der Nutzer "devil" verlangte auf Anfrage einen Preis von mindestens 30.000 US-Dollar für seine Datensätze. Er bestätigte RestorePrivacy gegenüber auch, dass er die Twitter-Lücke vom Januar ausgenutzt habe.

Schwerwiegende Lücke im Android-Client

Von dieser Lücke berichtete die Plattform HackerOne am 1. Januar dieses Jahres, deren Nutzer "zhirinovskiy" sie entdeckt hatte. Der Anmeldeprozess von Twitter enthielt demnach eine Schwachstelle bei der Autorisierung, die es einem Angreifer erlaubte, ein Twitterkonto mit privaten Daten wie E-Mail-Adresse und Telefonnummer zu verknüpfen, selbst wenn diese per Privatsphäre-Einstellungen eigentlich verborgen bleiben sollten. Der Entdecker der Schwachstelle stufte sie als schwerwiegend ein und meldete sie sofort an Twitter.

Die Lücke erlaube es, Nutzer mit ihrer verborgenen E-Mail-Adresse oder Telefonnummer zu finden, obwohl das nicht möglich sein dürfte. Ein Angreifer könne diese Lücke bereits mit Grundkenntnissen in Scripting und im Programmieren ausnutzen, die Twitter-Nutzerbasis durchsuchen und eine Datenbank aufbauen, in der Twitter-Kontonamen mit solchen verborgenen Daten verknüpft seien. Eine solche Datenbank – wie sie nun zum Verkauf steht – lässt sich für weitere Angriffe auf die Betroffenen missbrauchen.

Twitter bestätigte die Sicherheitslücke am 6. Januar gegenüber ihrem Entdecker und zahlte ihm eine Belohnung von 5040 Dollar. Am 13. Januar schloss Twitter die Lücke und Nutzer "zhirinovskiy" bestätigte, dass das Problem behoben sei. Dennoch hat in der Zwischenzeit offenbar ein Angreifer die Gelegenheit genutzt und sich Zugriff auf die Daten zahlreicher Twitter-Nutzerkonten verschafft.

Update 12:30, 27. Juli 2022: Der Artikel verortete die Lücke ursprünglich im Android-Client von Twitter. Dessen Anmeldevorgang wurde jedoch lediglich ausgenutzt; das eigentliche Problem lag auf der Server-Seite. Der Twitter-Server lieferte beim Anmeldeprozess Daten zurück, die den Angriff ermöglichten. Das haben wir im Text korrigiert.

(tiw)