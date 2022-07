Ein Cyberkrimineller hat eine Sicherheitslücke bei Twitter ausgenutzt und sich zahlreiche Daten von knapp 5,5 Millionen Twitter-Nutzerkonten beschafft. Diese bietet er nun in einem einschlägigen Forum zum Verkauf an. Der Täter nutzte dafür eine Lücke im Android-Client von Twitter aus, die im Januar dieses Jahres bekannt geworden war und die Twitter auch damals rasch geschlossen hat – offenbar jedoch nicht schnell genug. Das berichtet das Security-Portal RestorePrivacy.

Am Donnerstag dieser Woche tauchte auf der Hacking-Plattform "Breached Forums" das 'Angebot' von 5,485 Millionen Twitter-Nutzerdatensätzen auf. Der unter dem neuen Nutzerkonto "devil" auftretende Forumsteilnehmer bietet Datensätze unter anderem von Prominenten und Firmen an. Der Betreiber von "Breached Forums" bestätigte die Echtheit der angebotenen Daten.

RestorePrivacy untersuchte die mitgelieferte 'Probe': Sie enthält unter anderem Nutzer- und Klarnamen von Twitter-Nutzern weltweit, dazu Telefonnummern und E-Mail-Adressen, die eigentlich nicht öffentlich einsehbar sind. Der Nutzer "devil" verlangte auf Anfrage einen Preis von mindestens 30.000 US-Dollar für seine Datensätze. Er bestätigte RestorePrivacy gegenüber auch, dass er die Twitter-Lücke vom Januar ausgenutzt habe.

Schwerwiegende Lücke im Android-Client

Von dieser Lücke berichtete die Plattform HackerOne am 1. Januar dieses Jahres, deren Nutzer "zhirinovskiy" sie entdeckt hatte. Der Android-Client von Twitter enthielt demnach eine Schwachstelle bei der Autorisierung, die es einem Angreifer erlaubte, die mit einem Twitterkonto verknüpften Daten wie E-Mail-Adresse und Telefonnummer auszulesen, selbst wenn diese per Privatsphäre-Einstellungen eigentlich verborgen bleiben sollten. Der Entdecker der Schwachstelle stufte sie als schwerwiegend ein und meldete sie sofort an Twitter.

Die Lücke erlaube es, Nutzer mit ihrer verborgenen E-Mail-Adresse oder Telefonnummer zu finden, obwohl das nicht möglich sein dürfte. Ein Angreifer könne diese Lücke bereits mit Grundkenntnissen in Scripting und im Programmieren ausnutzen, die Twitter-Nutzerbasis durchsuchen und eine Datenbank aufbauen, in der Twitter-Kontonamen mit solchen verborgenen Daten verknüpft seien. Eine solche Datenbank – wie sie nun zum Verkauf steht – lässt sich für weitere Angriffe auf die Betroffenen missbrauchen.

Twitter bestätigte die Sicherheitslücke am 6. Januar gegenüber ihrem Entdecker und zahlte ihm eine Belohnung von 5040 Dollar. Am 13. Januar schloss Twitter die Lücke und Nutzer "zhirinovskiy" bestätigte, dass das Problem behoben sei. Dennoch hat in der Zwischenzeit offenbar ein Angreifer die Gelegenheit genutzt und sich Zugriff auf die Daten zahlreicher Twitter-Nutzerkonten verschafft.

(tiw)