Cyber-Autopsie Teil 1

Der große Twitter-Angriff von 2020

Quelle: TY Lim / Shutterstock.com

Oktober ist traditionell National Cybersecurity Month und EU-Cybersicherheits-Monat. Einen ganzen Monat lang haben sich Experten, Anbieter sowie unterschiedlichste Institutionen dem Thema Cybersicherheit aus verschiedenen Perspektiven gewidmet. Aus diesem Anlass rekapitulieren wir in diesem Jahr vier schwerwiegende Cybersicherheitsvorfälle.

Vorfälle, die möglicherweise hätten verhindert werden können. 

Anzeige

Cyber-Opfer

Twitter – Das 2006 gegründete soziale Netzwerk, mit inzwischen über 25 Niederlassungen weltweit, mit mehr als 321 Millionen aktiven Nutzern pro Monat. Es wird allgemein als eine der Top 7 Social Media Websites angesehen.

Einzelheiten zum Fall

Am 15. Juli entdeckte Twitter, dass das Unternehmen Ziel eines Phishing-Scam geworden war. Mitarbeiter des Kundendienstes und des technischen Support-Teams erhielten Nachrichten, in denen sie um ihre Zugangsdaten und das Zurücksetzen ihrer Passwörter gebeten wurden. Die meisten Mitarbeiter, die diese Nachrichten erhielten, leiteten sie an das Sicherheitsteam weiter. Leider gaben bis zu acht Mitarbeiter ihre Zugangsdaten an. Das Endergebnis war ein Albtraumszenario: die kompromittierten Accounts des ehemaligen Präsidenten Barack Obama und des Vizepräsidenten Joe Biden. Ganz zu schweigen von Elon Musk, Bill Gates, Michael Bloomberg, Apple, einem Amtsträger in den Niederlanden und Kanye West.  

Der Hacker-Angriff wurde von The Verge als „eine der ausgedehntesten und verblüffendsten Sicherheitsverletzungen, die die Plattform je erlebt hat“ beschrieben. Hacker haben sich Zugang zu 130 Accounts auf der Website verschafft und von 45 dieser Accounts Tweets – einen Bitcoin-Betrug – verschickt. In finanzieller Hinsicht brachte das vergleichsweise wenig ein, lediglich 120.000 Dollar. Aber was das vielleicht Schlimmste daran war (sprich: Peinlichste): Einer der Masterminds ist noch in der High School und hat bereits Bitcoin-Assets im Wert von mehr als 3 Millionen Dollar angesammelt. 

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Cyber-Geschichte: 

Der Hacker-Angriff in diesem Sommer nicht der erste bei Twitter. Einige der wichtigsten Vorfälle waren: 

  • Januar 2015: Der Twitter-Account des Zentralkommandos des US-Militärs verschickt Drohbotschaften und das Banner des Accounts zeigt den Text „i love you isis“ (“Ich liebe Dich, IS“). Das Militär bezeichnete dies als einen Akt von „Cybervandalismus“ und hat daraufhin seine Social Media-Accounts sofort offline genommen. 
  • Juni 2016: Hacker erbeuten mithilfe einer Malware 32 Millionen Twitter-Passwörter, die dann im Dark Web zum Verkauf angeboten werden. 
  • Juli 2016: Der Account des Twitter-CEO, Jack Dorsey, wird gehackt. 
  • November 2017: Der Account von Präsident Trump wird von einem Mitarbeiter bei Twitter an seinem letzten Arbeitstag deaktiviert und für etwa 11 Minuten abgeschaltet. Der Vorfall wirft Fragen darüber auf, wie weitreichend der Zugriff der Twitter-Mitarbeiter auf die Accounts der Benutzer ist.
  • August 2019: Nachdem die mit Dorseys Konto verbundene Telefonnummer kompromittiert wurde, erzeugt das Konto höchst fragwürdige Tweets, die fast sofort gelöscht wurden. Eine Gruppe, die sich „Chuckling Squad“ nennt, hat die Verantwortung übernommen. 

Beschreibung der Ereignisse

Die sieben oder acht Mitarbeiter, die dem Angriff zu Opfer fielen, wurden zu einer von den Hackern kontrollierten Website geleitet und gaben dort ihre Zugangsdaten ein. Auf diese Weise haben sie wichtige Informationen preisgegeben – nicht nur Benutzernamen und Passwörter, sondern auch Multifaktor-Authentifizierungscodes. 

Bald darauf wurden mehrere Twitter-Accounts – @drug, @xx, @vampire und weitere – kompromittiert. Eines der verräterischen Anzeichen dafür, dass etwas im Argen lag, kam am Nachmittag, als die Börse für Kryptowährungen Binance einen ungewöhnlichen Tweet verschickte. Sie gab darin bekannt, der Community Bitcoin im Wert von rund 52 Millionen US-Dollar „zurückzugeben“. Der Tweet enthielt einen Link zu einer betrügerischen Website. In der nächsten Stunde taten es ihr 11 Kryptowährungs-Accounts gleich. Später auch die Accounts von Elon Musk und Bill Gates. 

Da Twitter nicht wusste, woher der Angriff kam, konnte der Dienst nicht vorhersagen, welcher Account der nächste sein würde. Außerdem war es nicht praktikabel, den Dienst abzuschalten. Am Abend beschloss das Unternehmen, alle verifizierten Accounts zu sperren und weitere Beschränkungen für alle Accounts einzuführen, die kürzlich ihr Passwort geändert hatten. 

Betroffene Systeme / Parteien

Die Aktion, so WIRED habe ein Chaos verursacht. Der Nationale Wetterdienst konnte keine Meldungen über einen Tornado verschicken, und Medienunternehmen, darunter auch WIRED selbst, waren nicht in der Lage, Nachrichten über den Hack zu twittern. Damit blieb der offizielle Twitter-Support-Account die Hauptinformationsquelle auf der Plattform. 

Hacker konnten die privaten Nachrichten von 36 Accounts einsehen, darunter auch das Konto eines gewählten Amtsträgers aus den Niederlanden. Glücklicherweise geht Twitter nicht davon aus, dass auf die Direktnachrichten anderer ehemaliger oder aktueller gewählter Amtsträger zugegriffen wurde. Was gut ist, weil in Bezug auf die Accounts von Barack Obama und Joe Biden die Alarmglocken schrillten. Der anerkannte Sicherheitsexperte Graham Cluely schrieb im Tripwire Blog: „Ich lese zwischen den Zeilen, dass Twitter anscheinend versucht, die Medien und die US-Öffentlichkeit zu beruhigen, dass Direktnachrichten von Barack Obama und Joe Biden während des Hacks nicht kompromittiert wurden.“ 

Vorgehensweise

Der Phishing-Hack deckte eine klaffende Sicherheitslücke bei Twitter auf. Es stellte sich heraus, dass das Unternehmen für Direktnachrichten keine End-to-End-Verschlüsselung verwendet hat. Einem anderen Artikel von Vice zufolge, traf sich US-Senator Ron Wyden vor zwei Jahren mit Jack Dorsey, um mit ihm über den Einsatz der vollständigen Verschlüsselung zu sprechen. Nun hat es den Anschein, dass die fehlende End-to-End-Verschlüsselung bei dem Angriff eine Rolle gespielt haben könnte. 

Abschließende Diagnose

In der Folge kam Twitter zu dem Schluss, dass zu viele Personen ein viel zu hohes Zugangslevel/Zugriffsberechtigungen inne hatten. Das Unternehmen verlangt nun von allen Mitarbeitern eine physische Zwei-Faktor-Authentifizierung zu verwenden. 

Was sollten Unternehmen tun, um ein ähnliches Szenario zu verhindern? Einer der wichtigsten Schritte ist die Überprüfung ihrer Twitter-Einstellungen, die entweder über die Twitter-Website oder über die mobile App erfolgen kann. Für spezifische Details bietet dieser Tech Republic Artikel von Lance Whitney hilfreiche Einblicke. 

Amy Krigman, Public Relations Manager, www.globalsign.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.