Auf dem Hacking-Forum Breach Forums wird derzeit eine Datenbank mit den Telefonnummern und E-Mail-Adressen von 5⸴5 Millionen Twitter-Nutzern für einen Preis von 30․000 US-Dollar angeboten. Die Datenbank ist das Ergebnis einer Schwachstelle die im Januar dieses Jahres von einem unbekannten Angreifer ausgenutzt wurde. Obwohl Twitter die Schwachstelle seitdem behoben hat werden die gestohlenen Daten nun zum Verkauf angeboten.
Schwachstelle im Twitter-Android-Client
Der User zhirinovskiy meldete die Schwachstelle Anfang Januar auf der Bug-Bounty-Plattform HackerOne. Die Schwachstelle betraf den Autorisierungsprozess des Twitter-Android-Clients und ermöglichte es einem Angreifer die Telefonnummer und/oder E-Mail-Adresse eines Twitter-Kontos zu erhalten, selbst unter der Nutzer diese Informationen in den Datenschutzeinstellungen ausgeblendet hatte. Die Twitter-Mitarbeiter erkannten die Schwachstelle als gültiges Sicherheitsproblem an und behoben es 12 Tage später. Zhirinovskiy erhielt dafür ein Kopfgeld in Höhe von 5․040 US-Dollar.
Twitter-Datenbank mit Promis und Unternehmen zum Verkauf
Der User devil auf Breached Forums bietet die Twitter-Datenbank für mindestens 30․000 US-Dollar zum Verkauf an. Die Datenbank enthält nicht nur die gestohlenen Nutzerdaten allerdings ebenfalls Informationen über Prominente und Unternehmen. Es gibt keine Passwörter in der Datenbank, nur öffentlich verfügbare Twitter-Profilinformationen und die Telefonnummer und/oder E-Mail-Adresse die zur Verwendung die Anmeldung verwendet wurden. Obwohl die E-Mail-Adressen für die "Passwort vergessen"-Funktion von Twitter verwendet werden können, benötigt ein Angreifer Zugriff auf das Login-Passwort des E-Mail-Kontos.
Keine Möglichkeit der Überprüfung für Twitter-Nutzer
Twitter-Nutzer können derzeit nicht feststellen, ob ihre Konten von der Datenpanne betroffen sind. Es wird empfohlen, besonders auf Phishing-Angriffe zu achten und verdächtige E-Mails nicht zu öffnen. Eine Stichprobe der Datenbank zeigt – dass sie authentisch ist und Personen aus der ganzen Welt mit öffentlichen Profilinformationen enthält.
Weitere Datenlecks auf Breached Forums
Breached Forums hat in der Vergangenheit bereits andere Datenlecks angeboten, ebenso wie eine Datenbank mit 23 Terabyte an personenbezogenen Daten für 10 Bitcoins. Die Datenbank wurde durch den Hack einer Polizeibehörde in Shanghai gewonnen und enthielt Informationen über weiterhin als eine Milliarde chinesischer Einwohner. Es bleibt zu hoffen; dass die Plattform in Zukunft keine gestohlenen Daten mehr zum Verkauf anbietet und die Sicherheit der Nutzerdaten im Internet verbessert wird.
Kommentare