Sicherheitslücke Mensch: Twitter wurde per Telefonanruf gehackt

Um an 45 Konten von Prominenten zu gelangen, haben Eindringlinge Twitter-Angestellten ihre Zugangsdaten per Telefon und Social Engineering entlockt.

Artikel veröffentlicht am ,
Twitter wurde per Telefon gehackt.
Twitter wurde per Telefon gehackt. (Bild: Edar/Pixabay)

Twitter hat in einem Blog-Beitrag und in mehreren Tweets weitere Informationen zu dem Hackerangriff am 15. Juli veröffentlicht, bei dem 45 Twitter-Konten von bekannten Persönlichkeiten übernommen wurden. Den Angaben zufolge griffen die Eindringlinge Twitter-Mitarbeiter mit Social-Engineering und Spearphishing an, also einer gezielt auf einzelne Personen ausgerichtete Phishing-Attacke. Diese sei am Telefon erfolgt.

Stellenmarkt
  1. Business Developer "Connected Car" (w/m/d)
    HUK-COBURG Versicherungsgruppe, Coburg
  2. Softwareentwickler*in - Angewandte Nachrichtentechnik
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
Detailsuche

"Ein erfolgreicher Angriff erforderte, dass die Eindringlinge sowohl auf unser internes Netzwerk zugreifen konnten als auch die Zugangsdaten von bestimmten Twitter-Angestellten erlangen konnten, die ihnen Zugang zu unseren internen Support-Tools gewährten", erklärt Twitter. Auch Angestellte, die nicht die entsprechenden Berechtigungen hätten, seien ins Visier genommen worden. Mit deren Zugangsdaten habe die Angreifer-Gruppe zwar nicht auf die Kontoverwaltungstools zugreifen können, sie habe diese jedoch genutzt, um auf die internen Systeme von Twitter zuzugreifen und Informationen über Prozesse zu erhalten, schreibt Twitter.

Wie diese Anrufe abgelaufen sind, erklärt Twitter nicht. Wahrscheinlich gaben sich die Eindringlinge am Telefon als Twitter-Angestellte, beispielsweise des Sicherheitsteams, aus und brachten die wirklichen Twitter-Angestellten unter einem Vorwand dazu, ihre Zugangsdaten preiszugeben. Üblicherweise bauen die Angriffe aufeinander auf und dienen teils auch nur der Informationsbeschaffung für weitere Angriffe. Im schlimmsten Fall bekommen Unternehmen von diesen Angriffen erst etwas mit, wenn der Angriff öffentlich wird - beispielweise weil klar wird, dass Daten abhanden gekommen oder Konten übernommen wurden.

Twitter beschränkt Zugriff auf interne Tools

Als eine Reaktion auf die Angriffe hat Twitter den Zugang zu den Kontoverwaltungstools beschränkt. Die Twitter-Community muss daher mit längeren Support-Zeiten rechnen. Ehemalige Angestellte hatten zuvor kritisiert, dass zwischen 1.000 und 1.500 Personen, die teils bei Vertragsfirmen von Twitter angestellt waren, auf die Tools zugreifen konnten. Diese sollen mit gefälschten Helpdesk-Anfragen auf die Konten von Prominenten zugriffen haben. Laut einer Recherche von Bloomberg soll unter anderem die Sängerin Beyonce betroffen sein. Angestellte sollen beispielsweise über ihre IP-Adresse ihren ungefähren Standort ermittelt haben.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
Weitere IT-Trainings

In dem Blog-Beitrag betont Twitter jedoch, dass keinerlei Missbrauch von Anmeldedaten oder Tools toleriert werde und diese aktiv auf Missbrauch überwacht würden. Es würden sofort Maßnahmen ergriffen, wenn "jemand ohne triftigen geschäftlichen Grund auf Kontoinformationen zugreift." Zugleich schreibt Twitter, dass die Sicherheitsabläufe und "Methoden zur Aufdeckung und Verhinderung von unangemessenem Zugang" verbessert würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lanski 03. Aug 2020

+1

Gole-mAndI 03. Aug 2020

Genau so. Ein USB Dongel als 2. Faktor kann auch keiner per Telefon stehlen, egal wie...

tomatentee 02. Aug 2020

Wie viele Leute haben Support-Specialist at Twitter Inc. auf LinkedIn und...

SM 01. Aug 2020

Nein, ist eh jeder zu Instagram (ja ich weiss, gehört zu FB) abgewandert.



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  2. Zusammen mit Keychron: Oneplus entwickelt mechanische Tastatur
    Zusammen mit Keychron
    Oneplus entwickelt mechanische Tastatur

    Zusammen mit Keychron will Oneplus eine mechanische Tastatur auf den Markt bringen. Der Preis dürfte eher niedrig als hoch sein.

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /