Ein E-Mail-Konto zu knacken, ist für einen ambitionierten Hacker kein Problem. Das mussten vor wenigen Tagen auch wieder die Beschäftigten von Twitter schmerzlich erfahren. Zum dritten Mal in diesem Jahr gab es beim populären Mikroblogging-Dienst einen Vorfall, bei dem die Sicherheitsmaßnahmen umgangen wurden.
Diesmal kam ein Angreifer an das Passwort für die E-Mail eines Mitarbeiters - entweder weil er es ermitteln konnte oder weil er eine sogenannte Sicherheitsfrage richtig beantwortet hat. Von da an war es nicht mehr weit bis zu vertraulichen Unterlagen der Twitter-Dienste. Dazu gehörten unter anderem Informationen über Wachstumserwartungen der Firmenleitung, Gehälter der Beschäftigten, Kreditkartennummern, Einschätzungen über Bewerber und Berichte von internen Besprechungen. Einige Daten wurden im Netz verbreitet.
Wie Twitter-Mitgründer Biz Stone in einem Blog-Eintrag schrieb, bekam der Hacker über das Passwort für den Goggle-Mail-Account des Mitarbeiters auch automatisch Zugriff auf dessen Google-Apps-Account - Online-Programme für Textverarbeitung, Tabellenkalkulation und Kalenderverwaltung. Zudem sei auch zur gleichen Zeit die private Mail-Adresse der Frau von Twitter-Mitbegründer Evan Williams gehackt worden, schrieb Stone. Darüber habe der Angreifer Zugriff auf Williams' Amazon- und PayPal-Konten erhalten. Diese Angriffe, erklärte Stone, zeigten, dass "Twitter inzwischen so sehr im Rampenlicht steht, dass die Menschen, die hier arbeiten, zu Zielen werden".
Der Vorfall zeigt aber auch, welche möglichen Gefahren mit dem Trend verbunden sind, immer mehr persönliche Daten online zu speichern und zu verwalten. Ein Fehler, der dem Mitarbeiter einer Firma im privaten Bereich unterläuft, kann dazu führen, dass dem Unternehmen großer Schaden entsteht. Dafür reicht bereits das Passwort eines E-Mail-Kontos.
Alte Hacker-Techniken weiter aktuell
Der jüngste Angriff auf Twitter zeigt, dass die alten Hacker-Techniken nicht aus der Mode gekommen sind. Mit dem Boom der sozialen Netzwerke erleben sie eine neue Blüte. Statt des Angriffs auf einen Web-Server genügt bereits ein schwaches Passwort für einen E-Mail-Account, um an vertrauliche Daten zu gelangen. Auch die Sicherheitsfragen kann man mit einigen Kenntnissen über die Zielperson richtig beantworten.
Das musste im vergangenen Jahr auch die damalige US-Vizepräsidentschaftskandidatin Sarah Palin erfahren, deren E-Mail-Konto geknackt wurde, indem der Hacker die Sicherheitsfragen richtig beantwortete. Die Antworten bezogen sich auf ihr Leben und ihre Familie und waren im Internet zu finden.
Programme zum Ermitteln von Passwörtern gehören schon lange zum Hacker-Inventar. Im Januar wurde damit der E-Mail-Account eines anderen Twitter-Mitarbeiters gehackt. Anfällig sind alle Mail-Konten, deren Passwort einen gängigen Wörterbuch-Begriff enthält. Für Hacker werden diese Techniken auch dadurch interessanter, weil immer mehr Websites wie Facebook es ihren Mitgliedern erlauben, sich mit ihrem Nutzernamen und Passwort auch bei anderen Diensten einzuloggen - sehr praktisch für Hacker.
Deshalb gilt nicht nur für Twitter-Mitarbeiter: Im Web 2.0 muss unbedingt ein starkes Passwort benutzt werden, das aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen besteht.
