Anfang Januar dieses Jahres sollen Twitter etwa 5,4 Millionen Datensätze aufgrund einer Sicherheitslücke entwendet worden sein. Nachdem das Unternehmen das Leck vorvergangene Woche bestätigte und die betroffenen Nutzer informieren wollte, hat das Have-I-Been-Pwned-Projekt nun sogar rund 6,7 Millionen Twitter-Datensätze in der Datenbank ergänzt.

Der Datenfundus umfasst insgesamt 6.682.453 Datensätze. Diese enthalten die Biografie, E-Mail-Adressen, geografische Lage, Namen, Nutzernamen, Profilfotos sowie Telefonnummern. Neben aktiven Konten enthält der Datenblob auch suspendierte Accounts. Zieht man die etwa 1,4 Millionen Konten ab, ergibt sich mit Rundungsungenauigkeiten die Summe von 5,4 Millionen betroffenen Twitter-Zugängen, die das Unternehmen bereits bestätigt hatte.

Sicherheitslücke im Januar missbraucht

Die Sicherheitslücke wurde am 1. Januar auf der Plattform HackerOne bekannt. Ihr Entdecker meldete sie im Rahmen des Bug-Bounty-Programms an Twitter und erhielt dafür eine Belohnung von rund 5000 US-Dollar. Der Anmeldeprozess enthielt demzufolge eine Schwachstelle bei der Autorisierung, die es einem Angreifer erlaubte, ein Twitterkonto mit privaten Daten wie E-Mail-Adresse und Telefonnummer zu verknüpfen, selbst wenn diese per Privatsphäre-Einstellungen eigentlich verborgen bleiben sollten.

Zwar ließ sich die Lücke mit der Twitter-App für Android missbrauchen, der Fehler war jedoch serverseitigen Ursprungs. Die auf diese Weise exponierten Daten hatte ein unbekannter Angreifer offenbar noch vor dem Schließen der Lücke am 13. Januar dieses Jahres massenhaft gesammelt und bot sie im Juli zum Verkauf an.

Auch wenn die Daten keine Passwörter enthalten, empfiehlt Twitter die Aktivierung der Mehr-Faktor-Authentifizierung (MFA). Durch die Integration in den Have-I-Been-Pwned-Datenbestand lässt sich nun selbst prüfen, ob die eigene Mail-Adresse betroffen ist. Obacht ist für Betroffene etwa bei eingehenden SMS oder Mails geboten – Cyberkriminelle nutzen derartige Informationen oftmals, um Phishing-Angriffe authentischer aussehen zu lassen und so Opfer zur Preisgabe weiterer schützenswerter Daten wie Passwörter oder MFA-Antworten zu bewegen.

(dmk)