Datenleck: Hacker will 5,4 Millionen Twitter-Datensätze verkaufen
Ein Hacker mit dem Alias Devil verkauft auf einem Online-Marktplatz Twitter-Accountdaten von 5,4 Millionen Konten, die auf dem sozialen Netzwerk unterwegs sind. Für die Daten will der Akteur insgesamt 30.000 US-Dollar haben. Es gebe wohl bereits Interessenten, wie das Magazin Bleepingcomputer(öffnet im neuen Fenster) in einem Gespräch mit der Person herausgefunden hat. Die gehackten Daten stammen von diversen Personen, Unternehmen und auch Prominenten.
Er bediente sich dabei eines bereits länger existierenden Bugs, der in der Android-App von Twitter ausgenutzt werden kann. "Die Lücke erlaubt es jeder Partei, ohne irgendeine Authentifizierung an Twitter-IDs beliebiger User zu gelangen. Dabei muss lediglich eine Telefonnummer oder E-Mail übergeben werden" schreibt der Hacker zhirinovskiy in einem Foren-Beitrag vor sieben Monaten(öffnet im neuen Fenster) . Das funktioniere auch, wenn die Funktion explizit in den Datenschutzeinstellungen deaktiviert wurde.
Angriff schon lange bekannt
Devil, der laut eigenen Aussagen nicht in Verbindung mit dem Entdecker zhirinovskiy steht, nutzte eben diese Sicherheitslücke aus, um an Millionen von Account-IDs zu gelangen. Anschließend konnte er automatisiert weitere Daten über entsprechende Personen sammeln, die generell öffentlich zugänglich sind. So erzeugte Persönlichkeitsprofile können dann in weiteren Angriffen, beispielsweise Phishing oder Spam, genutzt werden.
Der Angriff erinnert an das Facebook-Datenleck im April 2021. Dort wurden 533 Millionen Accountdaten zusammengetragen , meist mit eigentlich nicht öffentlich zugänglichen Informationen. Passend dazu wurde ein Tool entwickelt, das mithilfe der genannten Methode täglich 5 Millionen E-Mail-Adressen sammeln kann.
Twitter hat bereits offiziell bestätigt, dass die 5,4 Millionen Datensätze tatsächlich von der Plattform stammen. In Stichproben konnte Bleepingcomputer deren Echtheit verifizieren. Zumindest das von Devil veröffentlichte Sample scheint echt zu sein.