Hackerangriff auf Twitter Wenn Obama Schwachsinn zwitschert


Britney Spears schwätzt über Genitalien, und Barack Obama macht Werbung - auf Twitter: Der beliebte Mikroblogging-Dienst wurde von einem Hacker angegriffen, der 33 Konten von Prominenten übernommen und für groben Unfug missbraucht hat. Der Eindringling erzählt, wie einfach der Hack war.
Von Ralf Sander

"Bin voll auf Crack. Komme heute nicht zur Arbeit", schrieb der bekannte CNN-Sprecher Rick Sanchez. Barack Obama lud ein zu einer Umfrage, bei der es einen Tankgutschein über 500 US-Dollar zu gewinnen gibt. Und Britney Spears' Äußerungen gingen so weit unter die Gürtellinie, dass man sie hier nicht wiedergeben kann. Das alles passierte auf Twitter. Waren der Promi, der Journalist, ja sogar der designierte US-Präsident irre geworden? Nein, ihre Twitter-Konten waren gehackt, übernommen und für groben Unfug missbraucht worden.

Der zurzeit sehr angesagte Mikroblogging-Dienst Twitter funktioniert so: Angemeldete Benutzer können Textnachrichten mit maximal 140 Zeichen senden und die Nachrichten anderer Benutzer empfangen. Das soziale Netzwerk beruht darauf, dass man die Updates anderer Benutzer abonniert. Nicht nur Einzelpersonen nutzen Twitter, um ihre Freunde an ihrem Alltag teilhaben zulassen. Auch viele Blogger und journalistische Angebote (darunter auch stern.de) betreiben Twitter-Feeds, um Kurznachrichten zu veröffentlichen.

Laut den Betreibern des Webangebots wurden 33 Konten bekannter Twitter-Nutzer von einem Hacker übernommen. Neben den bereits genannten Personen waren auch die Konten der Community Facebook, des Nachrichtensenders Fox News und des Politblogs Huffington Post betroffen. Einige der Konten - wie das von Sanchez - wurden für offensichtlich unsinnige Nachrichten missbraucht. Andere sollten Nutzer auf Porno- und Gewinnspiel-Websites locken.

Ob es sich um einen oder mehrere Personen handelt, die die Konten übernommen haben, ist noch unbekannt. Die IT-Website "Techcrunch" schreibt, dass die Zugangsdaten für kurze Zeit im Hackerforum "Digital Gangsters" zu lesen gewesen seien. Es könnten sich also verschiedene Personen bedient haben.

Inzwischen sind die Konten wieder unter der Kontrolle ihrer Besitzer. "Wir haben das Problem sofort erkannt und die gehackten Accounts geschlossen", sagte Twitter-Mitgründer Biz Stone der "New York Times".

Angriff über das Supportteam

Gegenüber "Wired.com" erkläre Stone, wie der Angriff abgelaufen sei: Der Hacker habe sich zunächst Zugang zu dem Benutzerkonto eines Twitter-Mitarbeiters verschafft. Das sei mithilfe eines so genannten Wörterbuch-Angriffs geschehen, bei dem ein Hackerprogramm versucht, das benötigte Passwort zu erraten, indem es einfach die Einträge eines Wörterbuchs durchprobiert. Die Twitter-Angestellte hatte offenbar ein Passwort gewählt, das in der englischen Sprache tatsächlich vorkommt. So konnte der Hacker auf eine interne Software des Kundendiensts zugreifen, mit der Nutzerkonten verändert werden können.

In diesem Fall ist kein großer Schaden entstanden, zu offensichtlich falsch waren die Einträge, die der Hacker hinterließ. Da aber besonders in den USA Twitter von vielen Menschen als Nachrichtenquelle benutzt wird, geht von geschickt gefälschten Schlagzeilen durchaus eine Gefahr aus.

Schlechtes Wochenende für Twitter

Gefährlich waren auch zwei Phishing-Attacken, die am Wochenende im Namen von Twitter durch das Internet schwirrten, mit dem Ziel, Passwörter zu ergaunern. E-Mails, die eine Nachricht von Twitter imitierten, zeigten diesen Text "Hey, i found a website with your pic on it ... LOL check it out here" oder "Hey! check out this funny blog about you." Dabei ein Link, der zu einer gefälschten Twitter-Anmeldeseite twitter.access-logins.com führte. Wer dort seine Daten eingibt, verrät sie an die Betrüger. Die Website sei in China registriert, schreibt "Wired.com".

Zunächst wurde ein Zusammenhang zwischen den Phishing-Attacken und dem Hack der 33 Promi-Konten vermutet, was sich aber nicht bestätigte. Die Twitter-Betreiber empfehlen jedem, der auf diese Mails reingefallen ist, sofort sein Passwort zu ändern.

Beide Fälle zeigen wieder einmal, wie wichtig es ist, mit verschiedenen Passwörtern zu arbeiten und für diese keine natürlichen Worte sondern Kunstbegriffe einzusetzen. (Tipps finden für sichere Passwörter finden Sie im Artikel "So ist Ihr Passwort sicher").

Update, 07.01.08, 9.45 Uhr

Der Twitter-Hacker hat sich zu Wort gemeldet. Es handelt sich, wie bereits von Techcrunch vermutet, um einen 18-Jährigen mit dem Pseudonym GMZ, der bereits häufiger Internetscherze auf Kosten von Promis gemacht hat. In einem Interview mit dem "Wired"-Blog "Threat Level" offenbart er Einzelheiten: Er habe eher zufällig einen Twitternutzer names Crystal als Opfer ausgewählt, der besonders aktiv zu sein schien. Erst als er ihren Account mit einem Wörterbuch-Angriff (siehe oben) geknackt hatte, habe er festgestellt, dass er es mit einem Mitglied des Kundendienstes zu tun hatte. Sein Angriff habe gleich zwei Schwächen aufgezeigt. Erstens sei das gewählte Passwort sehr schwach gewesen, es lautete "happiness". Und zweitens lasse Twitter eine unbegrenzte Anzahl an erfolglosen Einlog-Versuchen zu. Nur deshalb habe sein Hackerprogramm die ganze Nacht über versuchen können, das korrekte Passwort zu finden. Sicherer wäre es, wenn Twitter nach einer bestimmten Anzahl Fehlversuchen den Zugang vorübergehend sperrt.


Mehr zum Thema


Wissenscommunity


Newsticker