Ein Hacker hat einen Twitter-Bug ausgenutzt und sich dabei Zugriff auf Datensätze von knapp 5,5 Millionen Twitter-Nutzerkonten verschafft. Twitter hatte die Lücke im Android-Client, die bereits im Januar aufgetaucht war, zwar schnell schließen können, wie sich nun herausstellte hatte der Täter allerdings ausreichend Zeit, um an Telefonnummern und E-Mailadressen von zahlreichen Twitter-Konten zu gelangen. Dem Security-Portal Restoreprivacy gegenüber bestätigte der Hacker, sich die Twitter-Lücke im Januar zunutze gemacht zu haben.

„Die Lücke erlaubt es jeder Partei, ohne Authentifizierung an Twitter-ID beliebiger User zu gelangen. Dabei muss lediglich eine Telefonnummer oder E-Mail übergeben werden“, schrieb der Sicherheitsforscher „Zhirinovskiy“ bereits in einem Foren-Beitrag vor sieben Monaten und deckte damit die Schwachstelle auf. Twitter bestätigte offiziell, dass 5,5 Millionen Datensätze tatsächlich auf diese Weise von der Plattform gestohlen wurden.

Wie vergangene Woche bekannt wurde, bietet der Cyberkriminelle die gewonnenen Daten jetzt im Hacker-Forum „Breached Forums“ unter dem Usernamen „Devil“ für 30.000 US-Dollar zum Verkauf an. Er erläutert, dass das aus 5,5 Millionen User-Daten bestehende Datenarchiv persönliche Daten von Prominenten und Unternehmen enthalte. Als Beweis für die Echtheit der Daten postete „Devil“ die Probe eines geklauten Datensatzes. Zudem bestätigte der Betreiber von „Breached Forums“ die Echtheit der angebotenen Daten.

Derzeit gibt es für Twitter-User noch keine Möglichkeit, festzustellen, ob das eigene Konto betroffen ist. Twitter wies seine Nutzer allerdings darauf hin, aktuell besonders auf Phishing-Angriffe zu achten. Im April 2021 hatte es bei Facebook ein ähnliches Datenleck gegeben. Damals wurden persönliche Daten von 533 Millionen Facebook-Nutzern veröffentlicht.