Hacker konnten Kontodaten von über 200 Millionen Twitter-Nutzern(neues Fenster) stehlen und die Datenbank Anfang Januar 2023 in einem Hacking-Forum veröffentlichen. Diese Informationen umfassen die E-Mail-Adressen der Nutzer und Twitter-Namen, die es ermöglichen, pseudonyme Twitter-Konten möglicherweise zu identifizieren.
Experten glauben, dass diese Liste eine verfeinerte Version einer ähnlichen Datenbank ist, über die im Dezember 2022 berichtet wurde, die ungefähr 400 Millionen Twitter-Namen(neues Fenster) und zugehörige E-Mails und Telefonnummern enthielt.
Während Twitter bestreitet, dass diese Kontodaten gestohlen wurden(neues Fenster), indem „eine Schwachstelle von [seinen] Systemen ausgenutzt“ wurde, wies Troy Hunt, der Gründer von haveibeenpwned.com, der Website, die dir ermöglicht, zu sehen, ob deine Daten in einem Vorfall betroffen waren, darauf hin, dass dies wie eine vorsichtig formulierte Nicht-Abstreitung aussieht:
Twitter sieht sich nun einer Klage auf Unterlassung(neues Fenster) gegenüber, da es sich weigert, diesen Vorfall als Vorfall anzuerkennen.
Herr Hunt hat auch berichtet, dass die E-Mail-Konten, die angeblich aus dem Vorfall stammen, legitim zu sein scheinen.
Es scheint wahrscheinlich, dass diese Kontodaten durch die Ausnutzung eines API-Fehlers, den Twitter im August 2022 anerkannt hat(neues Fenster), erlangt wurden. Das Unternehmen wurde im Januar 2022 darüber informiert, dass es einen Fehler in einem Update im Juni 2021 eingeführt hat, der es jedem ermöglichen würde, der eine Telefonnummer oder E-Mail-Adresse eingibt, zu sehen, was der entsprechende Twitter-Name war (sofern einer existierte).
Zu diesem Zeitpunkt behauptete Twitter, dass der Vorfall ungefähr 5,4 Millionen Twitter-Namen(neues Fenster) und die entsprechenden E-Mails und Telefonnummern offengelegt hat.
Wie könnte dieser Vorfall dich betreffen?
Es gibt keine Hinweise darauf, dass Hacker auf die Passwörter oder DMs der Nutzer zugegriffen haben. Dennoch können Angreifer jetzt öffentlich bekannte E-Mail-Adressen und Telefonnummern mit Twitter-Konten verknüpfen, was es ihnen potenziell ermöglicht, Twitter-Nutzer zu identifizieren und bloßzustellen. Es wird ihnen auch ermöglichen, viel überzeugendere Phishing-Angriffe durchzuführen.
Während der Untersuchung des Vorfalls stellte Herr Hunt fest, dass 98 % der E-Mails in der Twitter-Datenbank zuvor in einem anderen Datenvorfall offengelegt worden waren(neues Fenster). Hacker haben einfach die veröffentlichten E-Mail-Adressen genommen und sie in Twitter eingegeben, um einen weiteren Datensatz zu den immer größer werdenden kriminellen Datenbanken hinzuzufügen.
Wie du dich von dem Twitter-Datenleck erholst
Das erste, was du tun kannst, ist auf haveibeenpwned.com(neues Fenster) zu gehen, um zu sehen, ob deine E-Mail-Adresse oder Telefonnummer im Vorfall betroffen war. Wenn nichts erscheint, musst du dir wahrscheinlich keine Sorgen machen.
Wenn deine E-Mail erscheint, solltest du sie von deinem Twitter-Konto und allen anderen Konten entfernen, für die du sie verwendest. Du solltest auch mit einem Anstieg der Menge und Qualität von Phishing-E-Mails, die du erhältst, rechnen.
Wenn deine Telefonnummer erscheint, solltest du sie von deinem Twitter-Konto und allen anderen Konten, für die du sie verwendest, abtrennen. Du könntest auch bösartige Anrufe und Textnachrichten (Smishing) erhalten, die versuchen, dich dazu zu bringen, sensible Informationen preiszugeben.
Selbst wenn deine Telefonnummer nicht in der Have I Been Pwned-Datenbank erscheint, solltest du, wenn du deine Telefonnummer für eine Zwei-Faktor-Authentifizierung (2FA) verwendest, aufhören. Die Zwei-Faktor-Authentifizierung über SMS ist unsicher, und du solltest auf etwas Sichereres umsteigen, z. B. eine zeitbasierte Einmalpasswort-App oder einen Hardware-Sicherheitsschlüssel.
Wie du dich vor zukünftigen Datenlecks schützt
Während du Datenverletzungen nicht selbst verhindern kannst, kannst du deine Verwundbarkeit gegenüber Datenverletzungen im Allgemeinen verringern. Die folgenden Schritte werden verhindern, dass Hacker an wirklich sensible Informationen gelangen oder die Daten, die sie gestohlen haben, verwenden können, um in deine anderen Konten einzudringen:
- Aktiviere die Zwei-Faktor-Authentifizierung für jedes mögliche Konto. Das verhindert, dass Hacker auf dein Konto zugreifen können, selbst wenn sie dein Passwort und deine E-Mail haben. Es kann eine entscheidende letzte Verteidigungslinie sein.
- Verwende starke, einzigartige Passwörter für jedes Konto. Wenn du für jedes Konto ein anderes Passwort verwendest, kann ein Vorfall niemals mehr als dieses Konto betreffen, was den potenziellen Schaden und die Wiederherstellungszeit begrenzt. Du solltest auch einen sicheren, Open-Source-Passwortmanager verwenden, um all deine Passwörter im Blick zu behalten.
- Verwende einen einzigartigen E-Mail-Alias für jedes Konto. Mit der gleichen Logik wie bei einzigartigen Passwörtern können Hacker deine Konten nicht identifizieren oder dich über Plattformen verfolgen, wenn du für jedes Konto einen einzigartigen E-Mail-Alias erstellst. SimpleLogin von Proton Mail(neues Fenster) macht das Erstellen und Verwalten von Dutzenden von E-Mail-Alias einfach. Wenn du SimpleLogin verwendet hast, um einen Alias für dein Twitter-Konto zu erstellen, wärst du nicht gefährdet, identifiziert zu werden, und könntest diesen Alias leicht ausschalten, um Phishing-Angriffe zu vermeiden.
- Teile keine sensiblen Informationen (wann immer du es vermeiden kannst). Es ist an der Zeit, real zu sein und zuzugeben, dass es eine gewisse Wahrscheinlichkeit gibt, dass alles, was du mit einem Online-Unternehmen teilst, irgendwann offengelegt werden könnte. Aber ein Unternehmen kann nichts in einem Vorfall offenlegen, das du ihm nicht zuerst gegeben hast. Wann immer möglich, vermeide es, mehr als einen Pseudonym und einen E-Mail-Alias zu teilen, wenn du ein Konto erstellst.
Diese Schritte werden helfen, deine Exposition gegenüber potenziellen Vorfällen zu reduzieren. Leider gibt es nur wenig, was du tun kannst, um Informationen zu schützen, die Organisationen bereits haben, weshalb wir empfehlen, dass du nur mit Organisationen arbeitest, die gute Sicherheitsvorkehrungen haben. Das wird jedes Jahr schwieriger, da immer mehr Unternehmen unter Vorfällen und Hacks leiden. Du solltest jedoch nach Organisationen suchen, die Open-Source-Code verwenden und eine aktive Sicherheitsbeitragsgemeinschaft haben. Es zeigt, dass diese Unternehmen die Datensicherheit priorisieren und bereit sind, von Experten unter die Lupe genommen zu werden, um deine Informationen zu schützen.
Du kannst auch Regierungen dazu drängen, Datenschutzgesetze durchzusetzen und Datenverletzungen zu bestrafen. Twitter steht noch unter einer Einwilligungserklärung(neues Fenster) wegen Datenverletzungen aus dem Jahr 2011. Es hätte erkennen müssen, dass Benutzerkonten abgegriffen wurden und das Problem schneller beheben müssen. Leider werden Datenverletzungen weiterhin auftreten, bis sie zu teuer werden, um ignoriert zu werden.
