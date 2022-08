Twitter hat bestätigt, dass Unbekannte eine Zero-day-Schwachstelle in dem Kurznachrichtendienst ausgenutzt haben und dadurch 5,4 Millionen Datensätze von Nutzern sammeln konnten. Die Lücke war im Januar dieses Jahres bekannt geworden und damals bereits von Twitter geschlossen worden. Im Juli tauchten die Datensätze in einem Forum zum Verkauf auf. Nun hat Twitter das Ausmaß des Vorfalls und die Echtheit der Daten bestätigt sowie damit begonnen, Betroffene zu benachrichtigen, berichtet Bleeping Computer.

Die schwerwiegende Sicherheitslücke wurde am 1. Januar auf der Plattform HackerOne publik gemacht; ihr Entdecker hatte sie im Rahmen eines Bug-Bounty-Programms an Twitter gemeldet und dafür eine Belohnung erhalten. Sie erlaubte es, über den Autorisierungsprozess zwischen dem Twitter-Android-Client und den Twitter-Servern mehrere, eigentlich private Nutzerdaten (insbesondere E-Mail-Adresse und Telefonnummer) mit einem Twitterkonto zu verknüpfen. Die auf diese Weise exponierten Daten hatte ein unbekannter Angreifer offenbar noch vor dem Schließen der Lücke massenhaft gesammelt und bot sie im Juli zum Verkauf an.

Nutzer werden informiert

Nun hat Twitter in einem Blogbeitrag den Hergang bestätigt und als "unglücklich" bezeichnet. Demnach befand sich der Fehler bereits im Juni 2021 im betreffenden Code. Im Januar 2022, als Twitter von der Lücke erfuhr, habe das Unternehmen jedoch keine Hinweise auf einen unbefugten Datenzugriff entdecken können. Die im Juli aufgetauchten Datensätze habe man mittlerweile analysiert und bestätige ihre Echtheit, heißt es in dem Blogbeitrag.

Twitter kündigt dort auch an, die betroffenen Nutzer informieren zu wollen. Zwar seien bei dem Vorfall keine Passwörter erbeutet worden, dennoch empfiehlt das Unternehmen den Einsatz von Zwei-Faktor-Authentifizierung. Wer sein Twitterkonto unter Pseudonym betreibe, solle zudem besser keine privaten Daten wie E-Mail-Adresse oder Telefonnummer hinterlegen, durch die er identifiziert werden könne, rät Twitter.

(tiw)