Hacker konnten Kontodetails von über 200 Millionen Twitter-Nutzern(new window) stehlen und stellten die Datenbank Anfang Januar 2023 in einem Hackerforum online. Zu diesen Details gehören die E-Mail-Adressen und Twitter-Namen der Nutzer, was es Personen ermöglicht, pseudonyme Twitter-Konten potenziell zu identifizieren.
Experten glauben, dass diese Liste eine verfeinerte Version einer ähnlichen Datenbank ist, über die bereits im Dezember 2022 berichtet wurde und die ungefähr 400 Millionen Twitter-Namen(new window) sowie zugehörige E-Mails und Telefonnummern enthielt.
Obwohl Twitter bestritt, dass diese Kontodetails gestohlen wurden(new window), indem eine Schwachstelle „[seiner] Systeme“ ausgenutzt wurde, wies Troy Hunt, der Gründer von haveibeenpwned.com, der Website, die es dir ermöglicht zu sehen, ob deine Daten in einem Datenleck aufgetaucht sind, darauf hin, dass es sich um ein sorgfältig formuliertes Nicht-Dementi handelt:
Twitter sieht sich nun mit einer Sammelklage(new window) konfrontiert, weil es sich weigert, diesen Vorfall als Datenleck anzuerkennen.
Herr Hunt hat auch berichtet, dass die E-Mail-Konten, die angeblich aus dem Datenleck stammen, legitim zu sein scheinen.
Es scheint wahrscheinlich, dass diese Kontodetails durch Ausnutzung einer API-Schwachstelle erlangt wurden, die Twitter im August 2022 anerkannte(new window). Das Unternehmen wurde im Januar 2022 darüber informiert, dass es im Juni 2021 einen Fehler in einem Update eingeführt hatte, der es jedem, der eine Telefonnummer oder E-Mail-Adresse eingab, ermöglichte zu sehen, welcher entsprechende Twitter-Name existierte (falls vorhanden).
Zu diesem Zeitpunkt behauptete Twitter, dass durch das Datenleck ungefähr 5,4 Millionen Twitter-Namen(new window) und ihre entsprechenden E-Mails und Telefonnummern offengelegt wurden.
Wie könnte dich dieses Datenleck betreffen?
Es gibt keine Beweise dafür, dass Hacker auf Passwörter oder Direktnachrichten der Nutzer zugegriffen haben. Dennoch können Angreifer nun öffentlich bekannte E-Mail-Adressen und Telefonnummern mit Twitter-Konten verknüpfen, was es ihnen möglicherweise erlaubt, Twitter-Nutzer zu identifizieren und bloßzustellen. Es wird ihnen auch ermöglichen, viel überzeugendere Phishing-Angriffe(new window) zu schreiben.
Während der Untersuchung des Vorfalls entdeckte Herr Hunt, dass 98% der E-Mails in der Twitter-Datenbank bereits in einem anderen Datenleck aufgedeckt wurden(new window). Hacker nahmen einfach die offengelegten E-Mail-Adressen und speisten sie in Twitter ein, um einen weiteren Datenpunkt zu den ständig wachsenden kriminellen Datenbanken hinzuzufügen.
Wie du dich vom Twitter-Datenleck erholen kannst
Das Erste, was du tun kannst, ist, auf haveibeenpwned.com(new window) zu gehen, um zu sehen, ob deine E-Mail-Adresse oder Telefonnummer in dem Datenleck aufgetaucht ist. Wenn weder das eine noch das andere erscheint, musst du dir wahrscheinlich keine Sorgen machen.
Wenn deine E-Mail erscheint, solltest du sie von deinem Twitter-Konto und jedem anderen Konto, für das du sie verwendest, entfernen. Du solltest auch mit einer Zunahme des Umfangs und der Qualität der Phishing-E-Mails(new window) rechnen, die du erhältst.
Wenn deine Telefonnummer erscheint, solltest du sie von deinem Twitter-Konto und jedem anderen Konto, für das du sie verwendest, trennen. Es könnte auch sein, dass du bösartige Anrufe und Textnachrichten (Smishing) erhältst, die versuchen, dich dazu zu bringen, sensible Informationen preiszugeben.
Selbst wenn deine Telefonnummer nicht in der Have I Been Pwned-Datenbank auftaucht, solltest du, wenn du deine Telefonnummer für eine Zwei-Faktor-Authentifizierung(new window) (2FA) verwendest, damit aufhören. Zwei-Faktor-Authentifizierung per SMS ist unsicher und du solltest auf etwas Sichereres umsteigen, wie eine App für zeitbasierte Einmalpasswörter oder einen Hardware-Sicherheitsschlüssel(new window).
Wie du dich vor zukünftigen Datenlecks schützen kannst
Obwohl du Datenlecks selbst nicht verhindern kannst, kannst du deine Verwundbarkeit gegenüber Datenlecks im Allgemeinen verringern. Die folgenden Schritte verhindern, dass Hacker an wirklich sensible Informationen gelangen oder die gestohlenen Daten verwenden können, um in deine anderen Konten einzudringen:
- Aktiviere die Zwei-Faktor-Authentifizierung für alle deine Konten, wo es möglich ist. Das verhindert, dass Hacker auf dein Konto zugreifen können, selbst wenn sie dein Passwort und deine E-Mail haben. Es kann eine entscheidende letzte Verteidigungslinie sein.
- Verwende starke, einzigartige Passwörter(new window) für jedes Konto. Wenn du für jedes Konto ein anderes Passwort verwendest, kann eine Sicherheitsverletzung niemals mehr als dieses eine Konto betreffen, was den potenziellen Schaden und die Erholungszeit begrenzt. Du solltest auch einen sicheren, quelloffenen Passwort-Manager(new window) verwenden, um alle deine Passwörter im Blick zu behalten.
- Verwende für jedes Konto einen einzigartigen E-Mail-Alias. Mit derselben Logik wie bei einzigartigen Passwörtern können Hacker deine Konten nicht identifizieren oder dich über Plattformen hinweg verfolgen, wenn du für jedes Konto einen einzigartigen E-Mail-Alias erstellst. SimpleLogin von Proton Mail(new window) macht das Erstellen und Verwalten von Dutzenden E-Mail-Aliasen einfach. Wenn du SimpleLogin verwendet hast, um einen Alias für dein Twitter-Konto zu erstellen, wärst du nicht in Gefahr, identifiziert zu werden und könntest diesen Alias einfach abschalten, um Phishing-Angriffen zu entgehen.
- Teile keine sensiblen Informationen (wenn du es vermeiden kannst). Es ist an der Zeit, realistisch zu sein und zuzugeben, dass es eine anständige Chance gibt, dass alles, was du mit einem Online-Unternehmen teilst, irgendwann einmal offengelegt werden könnte. Aber ein Unternehmen kann nichts in einem Datenleck preisgeben, was du ihm nie gegeben hast. Vermeide es, wenn möglich, mehr als ein Pseudonym und einen E-Mail-Alias preiszugeben, wenn du ein Konto erstellst.
Diese Schritte helfen dir, deine Anfälligkeit für potenzielle Sicherheitsverletzungen zu reduzieren. Leider kannst du sehr wenig tun, um Informationen zu schützen, die Organisationen bereits haben, weshalb wir empfehlen, nur Organisationen mit guten Sicherheitsbilanzen zu verwenden. Das wird jedes Jahr schwieriger, da immer mehr Unternehmen von Sicherheitsverletzungen und Hacks betroffen sind. Du solltest jedoch nach Organisationen Ausschau halten, die quelloffenen Code verwenden und eine aktive Sicherheitsbeiträgergemeinschaft haben. Das zeigt, dass diese Unternehmen Datensicherheit priorisieren und bereit sind, sich der Überprüfung durch Experten zu stellen, um deine Informationen sicher zu halten.
Du kannst auch Regierungen dazu drängen, Datenschutzgesetze durchzusetzen und Datenverletzungen zu bestrafen. Twitter steht immer noch unter einer Einwilligungsvereinbarung(new window) wegen Datenverletzungen aus dem Jahr 2011. Es hätte erkennen müssen, dass Benutzerkonten gescraped wurden und das Problem schneller beheben müssen. Leider werden Datenverletzungen weiterhin passieren, bis sie zu kostspielig zum Ignorieren gemacht werden.
