Vorheriger Artikel Nächster Artikel

Twitter gehackt – 250.000 Nutzer-Konten kompromittiert

Der Mikroblogging-Service ist Opfer eines Hackerangriffs geworden. Wie auf dem offiziellen der Unternehmens berichtet wird, könnten im Zuge der womöglich professionellen Attacke Nutzerdaten von bis zu 250.000 Nutzern beeinträchtigt worden sein.

Twitter gehackt – 250.000 Nutzer-Konten kompromittiert
Twitter für Unternehmen. 10 Tipps für mehr Follower. (Bild: Twitter)

Angriff auf Twitter betrifft bis zu 250.000 Nutzer

Nach Angaben des offiziellen Twitter-Unternehmensblogs konnten im Laufe der vergangenen Woche ungewöhnliche Muster beobachtet werden, die mittlerweile als unerlaubte Zugriffsversuche auf den Dienst identifiziert werden konnten. Im Zuge der Untersuchung konnte auch ein Live-Angriff entdeckt und vereitelt werden. Durch die Attacken hatten die Angreifer laut Twitter Nutzerdaten in relativ begrenztem Umfang erbeuten können, die dennoch Grund zur Sorge machen. Zu den Daten gehören Usernamen, Email-Adressen, Session-Tokens, sowie Passwort-Hashes.

Als Vorsichtsmaßnahme hat Twitter sowohl Passwörter als auch Session-Tokens der betroffenen Twitter-Konten zurückgesetzt. Betroffene Nutzer erhalten eine Email mit der entsprechenden Information, sich ein neues, sicheres Passwort anzulegen – das alte Passwort wird nicht mehr funktionieren.

Twitter ist erneut Opfer eines Hacker-Angriffs geworden (Foto: keiyac / flickr.com, Lizenz: CC-BY)

Wie Twitters Sicherheits-Chef Bob Lord im Blogpost schreibt, werden hinter dem Angriff professionelle Hacker vermutet. Die Angreifer gingen sehr geschickt vor und es wird vermutet, dass es sich nicht um einen isolierten Einzelfall handelt. In den vergangenen Wochen wurden bereits Portale wie die New York Times und das Wall Street Journal angegriffen. Derzeit geht man davon aus, dass es sich um die gleichen Angreifer handelt, die nun auch Twitter ins Visier genommen haben. Als Vorsichtsmaßnahme haben Apple und Mozilla bereits ein großes Einfallstor – namentlich Java – in ihren Browsern deaktiviert. Es war im Übrigen nicht das erste Mal, dass Twitter Opfer einer Attacke wurde. Erst im Mai vergangenen Jahres konnten zehntausende Twitter-Accounts gehackt werden.

Weiterführende Links:

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
3 Antworten
  1. von Holger am 02.02.2013 (14:54 Uhr)

    Kann man was mit diesen Passwort Hashes anfangen? Ich weiß nicht inwiefern das zutrifft, aber es gibt ja Leute, die überall das gleiche Passwort benutzen. Könnten die Hacker damit dann - die Email Adresse haben die ja logischerweise - irgendwie andere Services von dem jeweiligen User übernehmen?

    Vor Jahren hatte ich überall das gleiche Passwort benutzt und plötzlich hat sich jemand meinen Paypal Account gekrallt.

    Ich hab nämlich auch so eine Email von twitter bekommen und frag mich jetzt, was die Hacker mit den Daten wohl so alles anfangen können....

    Antworten Teilen
  2. von Markus Paeschke am 02.02.2013 (15:16 Uhr)

    @Holger:

    Prinzipiell können die Hacker nicht soviel damit Anfange. Normalerweise würde man versuchen die Hashes zu knacken. Dies ist aber ein schweres Verfahren. Nicht wegen dem Algorithmus, sondern viel mehr wegen den recht hohen Zeitumfang.

    Dabei versucht der Hacker mit sogenannten Rainbowtables (also eine gigantische Liste voller "Standardpasswörter") den Hash erneut zu erzeugen. Hat er genau den selben Hash erzeugen können, weiß er wie das Passwort lautet. Hat der Hacker also beispielsweise 2 Mio Passwörter in der Rainbowtable, brauch er Zeit X um diese zu in einen Hash umzuwandeln und dann noch mal Y Zeit um diese mit den Benutzerpasswörtern zu vergleich. Alles im allen also sehr schnell.

    Jedoch wird der Zeitaufwand exponenziell erhöht, dadurch das man einen so genannten Salt verwendet. Dieser wird beispielsweise vor das eigentliche Passwort geschrieben und erst dann der Hash erzeugt. Wenn jeder User also einen eigenen Salt hat wird der Aufwand jedes Passwort zu entschlüsseln unattraktiv groß. Der Hacker müsste die 2 Mio Durchläufe um den Hash zu erzeugen im Falle von Twitter 250.000 mal wiederholen und dann noch mal 250.000 mal vergleichen.

    Ansonsten ist der Sinn tatsächlich der, dass viele das gleiche Passwort auf verschiedenen Plattformen verwenden. Zusätzlich werden noch viele Emails abgegriffen, an die man von da an Spam schicken kann. Man könnte auch Spam über den Twitter Account des Betroffenen verschicken und und und. Da kann man dann recht kreativ sein.

    LG

    Markus

    Antworten Teilen
  3. von Thorsten am 03.02.2013 (12:04 Uhr)

    @Markus

    Hier steht aber nichts davon, dass Twitter für Passwörter einen Salt und ein Hash verwendet.
    Hier steht ja nicht mal was für ein Hash verwendet wird. ( md5, sha1 )

    Und md5 ist ja doch schon stark veraltet.
    Allerdings sehe ich doch einen recht großen Nutzungsbereich.
    Phishing bietet sich ja grade zu an. Ich habe die E-Mail Adresse und den Username also kann ich jeden direkt ansprechen. Und leider Gottes fallen sehr viele Leute drauf rein.

    Man sollte sich aber mittlerweile echt mal Gedanken machen was hier geschieht. In den Unternehmen die gehackt werden arbeiten keine Hobbybastler als Admins. Dennoch gibt es so wie es scheint haufenweise Angriffspunkte und ich sehe im Moment keine wirkliche Lösung dafür.

    Gruß,
    Thorsten

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Twitter
„Flight“: Twitter veranstaltet erste Konferenz für Mobile-Entwickler
„Flight“: Twitter veranstaltet erste Konferenz für Mobile-Entwickler

Das Unternehmen zeigt am 22. Oktober in San Francisco Developern, welche Apps sie mit dem Social Media-Dienst bauen können. Twitter-CEO Dick Costolo eröffnet das Event mit einer Keynote. » weiterlesen

Twitter Analytics für deine Website: Ein wertvolles Feature, über das niemand schreibt
Twitter Analytics für deine Website: Ein wertvolles Feature, über das niemand schreibt

Vor etwa einem Monat öffnete Twitter flächendeckend die hauseigene „Analytics“-Plattform. Nutzer können darüber einsehen, wie viel Reichweite und Interaktionen ihr privater Account auf … » weiterlesen

„BotMaker“: So kämpft Twitter gegen die Spam-Flut
„BotMaker“: So kämpft Twitter gegen die Spam-Flut

Ein neues Tool hat die Spam-Inhalte auf dem Social Media-Portal um 40 Prozent reduziert. Mit dem BotMaker will Twitter dubiose Nachrichten schon vor der Veröffentlichung abfangen. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n-Newsletter t3n-Newsletter
Top-Themen der Woche für Web-Pioniere
Jetzt kostenlos
anmelden
Diesen Hinweis verbergen