Startseite

Wie Herr Hiroshima seinen Twitter-Namen verlor

Naoki Hiroshima hatte einen der begehrtesten Usernamen bei Twitter. So begehrt, dass er ihm gestohlen wurde. Hiroshimas Webhoster und der Bezahldienst Paypal waren daran nicht ganz unschuldig.

Von Timo Brücken

  Objekt der Begierde: 50.000 Dollar wurden Naoki Hiroshima schon für seinen Twitter-Account @N geboten, doch er lehnte ab. Nun hat ein Unbekannter den Usernamen gestohlen.

Objekt der Begierde: 50.000 Dollar wurden Naoki Hiroshima schon für seinen Twitter-Account @N geboten, doch er lehnte ab. Nun hat ein Unbekannter den Usernamen gestohlen.

  • Timo Brücken

Es war nur ein Buchstabe, auf den sie es abgesehen hatten. Ein großes N, hinter dem obligatorischen @-Zeichen, Naoki Hiroshimas Username bei Twitter. Doch dieser eine Buchstabe war begehrt. 50.000 Dollar hatte jemand dem Software-Entwickler aus San Francisco schon dafür geboten. Andere hatten versucht, den Account zu stehlen. Hiroshima hatte sie alle abgewehrt. Bis vor einer Woche, da verlor er @N tatsächlich. Und bekannte Internet-Dienste, denen er eigentlich vertraut hatte, waren daran nicht ganz unschuldig.

Hiroshima hat die Geschichte des Raubs auf seinem Blog nacherzählt: Am 20. Januar saß er gerade beim Mittagessen, als der Bezahldienst Paypal ihm eine Nachricht schickte. Anscheinend versuchte ein Fremder, sich in seinen Account einzuloggen. Nichts Besonderes, keine Gefahr, Hiroshima aß in Ruhe weiter. Ein wenig später kam eine zweite Nachricht, diesmal vom Webhoster GoDaddy, über den der Entwickler unter anderem seine personalisierte E-Mail-Adresse verwaltet. Der Inhalt: Die Einstellungen des Accounts seien geändert worden, falls Hiroshima dies nicht selbst getan habe, solle er sich einloggen und seine Sicherheitsvorkehrungen überprüfen.

E-Mail-Adresse gekapert, Passwort geändert

Solche Nachrichten sind bei Web-Diensten üblich, um sicherzugehen, dass Veränderungen auch wirklich vom rechtmäßigen Account-Inhaber vorgenommen wurden. Manchmal wird der Benutzer dann gebeten, die Modifikation durch das Klicken auf einen Link zu bestätigen. Doch Hiroshima hatte gar nichts an seinem GoDaddy-Account verändert und einloggen konnte er sich dort auch nicht mehr. Denn jemand hatte längst das Passwort geändert.

Er rief bei GoDaddy an und schilderte sein Problem. Der Mitarbeiter am anderen Ende forderte ihn auf, die letzten sechs Ziffern seiner Kreditkartennummer zu nennen, ein in den USA übliches Identifizierungsverfahren. Doch die Zahlen, die Hiroshima nannte, waren nicht die, die der GoDaddy-Mitarbeiter hören wollte. Wer auch immer den Account gekapert hatte, war schlau genug gewesen, auch die Kreditkarteninformationen auszutauschen. "Ich hatte keine Möglichkeit mehr, zu beweisen, dass ich der wirkliche Inhaber der Domain war", schreibt Hiroshima.

Doch das war erst der Anfang. Nun, da der Angreifer Hiroshimas E-Mail-Account kontrollierte, konnte er sich per "Passwort vergessen"-Funktion die Zugangsdaten von allen Web-Diensten verschaffen, bei denen der Entwickler mit der zugehörigen Adresse registriert war. Er ließ sie sich einfach ins gekaperte Postfach schicken. Hiroshima änderte schnell die E-Mail-Adresse, mit der er bei Twitter registriert war. Er ahnte, dass der Angreifer es auf seinen Account dort abgesehen hatte. An anderer Stelle war er jedoch nicht schnell genug. "Freunde fingen an, mir Fragen zu stellen, wegen meines komischen Verhaltens bei Facebook." Auch dieses Profil war übernommen worden, stellte Hiroshima mit Erschrecken fest.

"Ich habe Ihre Domains in meiner Gewalt"

Dann meldete sich der Angreifer: "Ich habe Ihre GoDaddy-Domains in meiner Gewalt", schrieb der Unbekannte, der sich "Social Media King" nannte. "Wie ich sehe, haben Sie da ein paar schöne Websites. Aber die habe ich vorerst in Ruhe gelassen, alle Daten sind noch intakt. Wären Sie zu einem Kompromiss bereit?" Klare Erpressung mit einem klaren Ziel: Hiroshimas Twitter-Profil. Er sollte es umbenennen, damit der Name @N wieder frei wurde und der Erpresser ihn für sich selbst registrieren konnte.

Gegen 19:40, etwa fünf Stunden nach der ersten Warnung von Paypal, gab Hiroshima auf. Weitere Beschwerden bei GoDaddy hatten nichts gebracht. "Sie sind nicht der aktuelle Registrant der Domain", anwortete man ihm dort nur. Resigniert änderte er seinen Twitter-Namen und schrieb dem Angreifer: "Ich habe @N freigegeben. Nimm ihn dir einfach." Der Erpresser bedankte sich artig und schickte Hiroshima ein Passwort, mit dem er seine Domains zurückholen konnte. Dann erzählte "Social Media King" die unglaubliche Geschichte, wie er angeblich an die Zugangsdaten gekommen war.

Paypal und GoDaddy waren leichtsinnig

Er habe bei Paypal angerufen, sich als Mitarbeiter der Firma ausgegeben und seinen vermeintlichen Kollegen am anderen Ende dazu gebracht, ihm die letzten vier Ziffern von Hiroshimas Kreditkartennummer zu verraten. Anschließend habe er an der Hotline von GoDaddy behauptet, er habe seine Kreditkarte verloren, wisse aber noch die letzten vier Stellen der Nummer. Für die Identifizierung fehlten ihm also noch zwei. Doch statt abzulehnen, habe ihm der Mitarbeiter erlaubt, die beiden Zahlen einfach zu erraten. Was er mit wenigen Versuchen geschafft habe.

Hiroshima glaubte ihm. "Ich weiß nicht, was schockierender ist: dass Paypal dem Angreifer die letzten vier Ziffern meiner Kreditkartennummer gegeben hat. Oder dass GoDaddy sie als Verifizierung akzeptierte", schreibt er. Wie auch immer, beide Unternehmen seien dumm, ihr Leichtsinn könne das digitale Leben von Menschen zerstören. Hiroshimas Tipps: Nicht ein und dieselbe E-Mail-Adresse für alle möglichen Logins verwenden. So vermeidet man, dass alle Accounts betroffen sind, sollten sie einmal gekapert werden. Und bei Web-Diensten niemals Kreditkartendaten hinterlegen. Bei Paypal und GoDaddy will sich der Entwickler "so schnell wie möglich" abmelden. Auf Twitter heißt er mittlerweile @N_is_stolen - @N wurde gestohlen.

Stern Logo Das könnte Sie auch interessieren

Zu hohe Inkassogebühren, rechtens?
Hallo, ich habe am 20 März 15 einen Vertrag über 12 Monate mit einem Fitness-Studio abgeschlossen. Die Kosten (9,98 € 14-Tägig, 39,99€ Verwaltung einmalig, 19,99 Trainer und Servicepauschale Jährlich) sollten per Einzugsermächtigung abgebucht werden. Kürzlich bekam ich überraschend einen Brief von einem Inkassobüro mit der Zahlungsaufforderung für die gesamten 12 Monate inkl. der Verwaltung und Servicepauschale + Auslagen des Gläubigers (63,38€), Zinsen (1,42€), Geschäftsgebühr (45€), Auskunftskosten (5€) , Auslagenpauschale (9€) Hauptforderung 320,28€ Offene Forderung 444,08€ Nach dem ich mich bei der Firma erkundet habe, sagten sie mir, dass Zahlung zurückgegangen ist da mein Konto nicht gedeckt sei. Fakt war das sie einen Zahhlendreher in der Kontonummer hatten obwohl im meinem Durchschlag die Richtige Kontonummer angegeben wurde. Aber im Original hat jemand aus einer 3 eine 8 geändert. Nach Überprüfung konnte ich Feststellen das es diese Kontonummer gar nicht gibt und das diese vom System gar nicht angenommen wird. Spätestens da hätte man mich doch hinweisen oder fragen können was mit dem Konto sei. Es kam nie ein zu einem Zahhlungsrückgang, noch zu einer Zahlungserinnerung Mahnung seitens des Fitnessstudios. Die AGB´s habe ich nie zu Gesicht nie bekommen und auch nicht gelesen - diese stehen (nach meiner Recherche) im Internet aber auch nicht definiert wie man in Zahlungsverzug kommt. Leider habe ich unterschrieben das sie mir bekannt sind. Dies steht ganz kleingedruckt im Durchschlag. Ich habe der Firma vorgeschlagen die offenen Beiträge bis jetzt zu bezahlen und für die Zukunft eine neue Einzugsermächtigung zu erteilen, was sie aber abgelehnt haben und mir gesagt haben ich soll dies mit dem Inkassobüro klären. Der Fitnessvertrag ist somit gesperrt seit einem Monat. Da ich aber mit den Gebühren, Mahnspesen von dem Inkassobüro nicht einverstanden bin weiß ich nicht ob ich diese bezahlen muss. Ich habe dem Inkassobüro auch vorgeschlagen die offenen Beiträge zu begleichen und diese dann wie vertraglich vereinbart abgebucht werden. Sie haben mir angeboten diese in einem Jahr zu einem monatlichen Beitrag von 35€ abzuzahlen. Dies währen Mehrkosten von 100€, ist das rechtens? Bitte Antworten sie mir in einer Sprache die ich auch versteh - mit langen Gesetzestexten kann ich leider nicht umgehen Und was Sie denken was ich tun soll was rechtens ist. Vielen Dank im Voraus

Partner-Tools