Als in der letzten Nacht die ersten Meldungen eintrudelten, rechnete man zunächst einfach noch mit einem weiteren Fall, in dem mal wieder ein Twitter-Konto von Hackern gekapert wurde. Sehr schnell wurde jedoch klar, dass wir es hier mit einer deutlich größeren Geschichte zu tun haben.
Was war passiert? Viele Prominente, darunter Präsidentschaftskandidat Joe Biden, Bill Gates, Barack Obama, Jeff Bezos und Elon Musk twitterten einen vermeintlich attraktiven Bitcoin-Deal: Ihr schickt 1 000 US-Dollar an ein bestimmtes Bitcoin-Konto — und erhaltet 2 000 US-Dollar zurück.
Quite something to hack multiple key accounts in minutes pic.twitter.com/eH8dOa9GQ3
— Sven Henrich (@NorthmanTrader) July 15, 2020
Auch andere Promis wie Kim Kardashian und Kanye West waren betroffen, ebenso Unternehmens-Accounts wie die von Apple und Uber. Fatal ist dabei, dass neben Vertretern der Presse auch die wichtigsten Krypto-Currency-Accounts gekapert wurden:
ALL MAJOR CRYPTO TWITTER ACCOUNTS HAVE BEEN COMPROMISED.
2FA / strong password was used for @Gemini account. We are investigating and hope to have more information shortly. https://t.co/X3C0uJzc6C
— Cameron Winklevoss (@winklevoss) July 15, 2020
Wie konnte das passieren, Twitter?
Da grübelt man bei Twitter gerade wohl selbst noch ganz verzweifelt. Was wir bislang wissen: Es war nicht einfach ein üblicher Hack, bei dem Zugangsdaten von irgendwelchen Konten erbeutet wurden. Die Häufigkeit der übernommenen verifizierten Konten legt nahe, dass hier nicht einfach eine Sicherheitslücke in einer mit Twitter-Accounts verknüpften App ausgenutzt wurde, sondern deutlich tiefer ins System Twitters eingegriffen wurde. Bei Twitter selbst sprach man von Social Engineering, von dem Twitter-Mitarbeiter direkt betroffen sind.
Wir haben einen unserer Meinung nach koordinierten Social-Engineering-Angriff von Personen aufgedeckt, die erfolgreich einige unserer Mitarbeiter mit Zugang zu internen Systemen und Werkzeugen ins Visier genommen haben.
Im Thread des Twitter-Supports könnt ihr nachlesen, wie das Twitter-Team seit Bekanntwerden dieser Katastrophe vorgegangen ist und was bereits festgestellt werden konnte.
Our investigation is still ongoing but here’s what we know so far:
— Twitter Support (@TwitterSupport) July 16, 2020
Im Thread erfahrt ihr u.a., dass die Accounts der Betroffenen zunächst gesperrt und die entsprechenden Tweets gelöscht wurden. Die verifizierten Nutzer, die von diesem Scam betroffen waren, konnten zunächst also selbst nicht mehr twittern, mittlerweile soll alles aber soweit wiederhergestellt worden sein. Natürlich wird Twitter nicht müde, weiter zu verkünden, dass man fieberhaft daran arbeitet, die Gründe für dieses Desaster zu ermitteln und was genau da eigentlich passiert ist. Twitter-Boss Jack Dorsey selbst sprach von einem „Harten Tag für Twitter“ und erklärte, dass man sich furchtbar fühlt, weil so etwas passieren konnte:
Tough day for us at Twitter. We all feel terrible this happened.
We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.
? to our teammates working hard to make this right.
— jack (@jack) July 16, 2020
Nicht weniger als die schlimmste Social-Media-Katastrophe aller Zeiten
Wir sind mittlerweile ja schon echt abgehärtet, was solche Security-Vorfälle angeht. Millionenfach werden Passwörter erbeutet, immer wieder Promi-Accounts in Mitleidenschaft gezogen, Sicherheitslücken aufgedeckt.
Aber was da in der letzten Nacht passiert ist, ist nicht nur ein Krypto-Scam oder der x-te Vorfall auf Twitter. Diese Geschichte ist ein absolutes Desaster — für Twitter, für seine Nutzer und für den Rest der Welt. Dabei spreche ich gar nicht mal über das erbeutete Geld. Eigentlich sollte klar sein, dass man niemandem, der einem im Netz die Verdoppelung seines Geldes verspricht, tatsächlich Geld schickt — auch nicht, wenn es ein verifiziertes Konto eines Prominenten ist. Dennoch kamen auf dem angegebenen Bitcoin-Konto binnen kürzester Zeit an die 100 000 Euro zusammen.
Aber wie gesagt: Das ist hier nicht das größte Problem. Vielmehr geht es darum, dass jemand so tief ins System Twitters eindringen konnte, dass ihm all die prominenten und einflussreichen Nutzer auf dem Silbertablett präsentiert wurden inklusive aller Daten. Die reichsten Menschen der Welt fielen dieser Attacke zum Opfer, außerdem Unternehmen wie Apple und zudem ein Mann, der in vier Monaten der mächtigste Mann der Welt werden könnte. Man kann nur erahnen, welchen Schaden man anrichten kann mit Zugriff auf diese Accounts.
Denkt es vielleicht noch einen Schritt weiter und denkt an einen Mann wie Donald Trump, der über Twitter Politik macht. Denkt an die Schäden, die dieser Präsidenten-Darsteller bereits selbst in seinem Land und auch auf globaler Ebene angerichtet hat — und stellt euch dann vor, was passieren könnte, wenn er die Macht über diesen Account verliert. Gerade, weil diesem Menschen so ziemlich alles zuzutrauen ist und man sich langsam nicht mehr über seine Äußerungen wundert, besteht eine reelle Chance, dass ein gefälschter und völlig abstruser, verheerender Tweet für bare Münze genommen werden könnte.
Wir dürfen davon ausgehen, dass so prominente Konten wie die von Biden, Gates und Bezos nicht nur durch komplexe Passwörter, sondern zusätzlich auch durch Zwei-Faktor-Authentifizierung geschützt sind. Dennoch konnte dieser Coup gelingen — es wird vermutet, dass insgesamt Tausende Accounts betroffen waren! Wenn der Twitter-Gründer Dorsey da dann von einem „harten Tag“ spricht, dürfte das die Untertreibung des Jahres sein, noch knapp vor „Corona ist nur eine normale Grippe“.
Hier werden ganz ernste Fragen zur Sicherheit bei Twitter aufgeworfen. Fragen, die man bei diesem Unternehmen schon sehr oft gestellt hat, aber noch nie sah man sich in seiner Skepsis dermaßen bestätigt wie heute. Michael Borohovski, Direktor bei der Sicherheitsfirma Synopsys, erklärte dazu, dass in dem Fall, in dem Hacker Zugriff auf das Back-End oder direkten Zugriff auf die Datenbank gehabt haben, sie nichts daran gehindert hätte, im Schatten des Tweet-Betrugs zusätzlich auch Daten zu stehlen.
So oder so: Twitter wird in den nächsten Stunden und Tagen viel zu erklären haben. Wie konnte das passieren? Wie will man sicherstellen, dass so etwas nicht wieder passieren kann? Wie will man das beschädigte Vertrauen wiederherstellen? Ich habe das Gefühl, dieser Social-Media-Super-GAU wird uns noch eine Weile beschäftigen — und die Köpfe bei Twitter dürften noch eine Weile weiter rauchen.
Dmitri Alperovitch, Mitbegründer des Cybersicherheitsunternehmens CrowdStrike, sagte zu dem Vorfall: „Dies scheint der bislang schlimmste Angriff auf eine große Social-Media-Plattform zu sein“ — ich bin geneigt, ihm das zu glauben. Immerhin ist es den Angreifern gelungen, einige der wichtigsten, reichsten, prominentesten Menschen der Welt, große Unternehmen und sogar Teile der Presse für eine Weile verstummen zu lassen. Ich überlasse es eurer Fantasie, was noch alles hätte passieren können, wenn da nicht „nur“ jemand auf schnelles Geld aus gewesen wäre …
Quelle: Tagesschau, Süddeutsche