Twitter gehackt – "schwerwiegendstes Leck überhaupt"

Ein unbekannter Hacker hat in einem einschlägigen Forum einen Datensatz veröffentlicht, der angeblich mehr als 235 Millionen Angaben zu Twitter-Nutzerinnen und -Nutzern enthalten soll. Dieser Datensatz geistert zwar schon länger umher, nun kann er aber für umgerechnet rund zwei Dollar gekauft werden. Die rund 60 GB schwere Datei enthält neben den Nutzernamen und weiteren Angaben zu den einzelnen Konten auch die damit verknüpfte E-Mail-Adresse. "Es ist eines der schwerwiegendsten Lecks überhaupt", sagt Alon Gal, der CTO der IT-Sicherheitsfirma Hudson Rock, auf Linkedin.

Die IT-Newsplattform Bleepingcomputer.com hat den Datensatz heruntergeladen und analysiert. Man könne bestätigen, dass die Angaben für viele der aufgelisteten Twitter-Profile korrekt sind. Twitter zählt Ende 2022 mehr als 300 Millionen Nutzerinnen und Nutzer. "Vollständig ist der Datensatz nicht. Es gibt viele Konten, die nicht enthalten sind", so Bleebingcomputer.com. Der Datensatz sei vermutlich eine bereinigte Version eines anderen Datensatzes, der mehr als 400 Millionen Angaben und zusätzlich auch noch Handynummern enthielt. Dieser machte im Herbst 2022 die Runde.

Es ist zurzeit unklar, was für Personen von dem Leak genau betroffen sind. Ein Screenshot von dem 400-Millionen-Leak, der auf Twitter die Runden macht, zeigt aber zahlreiche bekannte Namen. Darunter etwa die US-Politikerin Alexandria Ocasio-Cortez, Apple-Mitgründer Steve Wozniak, das französische Justizministerium, die WHO, Ethereum-Mitgründer Vitalik Buterin, Donald Trump Jr. oder Model Cara Delevingne.

Laut mehreren IT-Sicherheitsexperten wurden die verschiedenen Datensätze vermutlich bereits 2021 erstellt. Dies mithilfe einer Schwachstelle der Twitter-Programmierschnittstelle. Die Angreifer nutzten dazu mehrere Tools, um Daten zu verknüpfen und die Listen zu erstellen. Laut Bleepingcomputer.com hat Twitter die Lücke Anfang 2022 geschlossen.

Obwohl der neue Datensatz nur E-Mail-Adressen enthält, wird er von Cyberkriminellen genutzt werden. In Gefahr seien beispielsweise politische Konten, solche mit kurzen oder beliebten Benutzernamen, Konten mit sehr hohen Followerzahlen oder solche aus der Kryptoszene, so Alon Gal von Hudson Rock. Auch Personen, die Twitter unter einem Pseudonym nutzen, seien in Gefahr. Ihnen droht die Exponierung, wenn sie keine spezielle Mailadresse für ihr Konto verwenden. "Die Datenbank wird von Hackern, politischen Hacktivisten und natürlich von Regierungen genutzt werden, um unsere Privatsphäre noch mehr zu verletzen", so Gal.

Die Experten raten nun allen Nutzerinnen und Nutzern von Twitter zur Vorsicht im Umgang mit Mails, da nun sogenannte Phishingattacken erwartet werden. Die Angreifer versuchen damit, sich als vertrauenswürdiges Gegenüber auszugeben, um an persönliche Daten oder das Passwort zu kommen. Twitter hat sich bisher nicht zu dem Thema geäußert.

Am 23. Dezember hat die irische Datenschutzbehörde angekündigt, dass das erste Leck untersucht werde. Da der europäische Twitter-Hauptsitz in Dublin ist, ist die Behörde dafür zuständig, dass die Datenschutzvorschriften von Twitter in der EU eingehalten werden. Der Plattform könnte im schlimmsten Fall eine hohe Strafe drohen. Im November wurde Meta zur Zahlung von 265 Millionen Euro verdonnert, nachdem Daten von mehr als 500 Millionen Facebook-Userinnen und -Usern veröffentlicht wurden, so die BBC.