Erfahrungsbericht: Von Twitter-Hack zum Pornostar gemacht

Während CeBIT-Macher sowie Medien von der Webciety schwärmten und in Hannover ein inzwischen etwas pummeliger Punk als Prophet des Web 2.0 gefeiert wurde, lebten andere die schöne neue Internetwelt bereits. Hacker zum Beispiel.

ZDNet.com-Autor Dennis Howlett machte seine Erfahrungen damit: Er wurde durch eine Schwachstelle in seinem Twitter-Account über Nacht zum weiblichen Pornostar. Wohlgemerkt unfreiwillig.

Hier seine Erfahrungen.

„Für einige Stunden glaubten meine etwas über 3000 Twitter-Follower, dass ich ein 23 Jahre alter Pornostar sei. Den Link gebe ich nicht heraus, aber offensichtlich wurde mein Account gehackt. Das könnte mir egal sein, wenn ich meinem Twitter-Account nicht doch einen gewissen Wert beimessen würde. Und obwohl es die meisten meiner regelmäßigen „Follower“ als Witz ansahen, ist es doch weit entfernt davon, lustig zu sein.

Ben Metcalfe war der erste Empfänger, der mich mit einer Nachricht direkt darauf ansprach. Nachdem ich zuerst dachte, er erlaube sich einen Witz mit mir, musste ich feststellen, dass mein Account tatsächlich missbraucht wurde. Die folgenden Stunden versuchten wir gemeinsam herauszufinden, wie das möglich war.

Da ich zumindest in Bezug auf Twitter nicht viel mehr als ein Gadget-Junkie bin, klappte das natürlich nicht. Die einzige Hoffnung war es also, mein Twitter-Passwort zu ändern und abzuwarten ob das funktioniert. Wir werden es sehen.

Was ist das Fazit dieser Geschichte? Twitter macht es zwar sehr leicht, neue Dienste zu entwickeln, aber grundlegende Sicherheitsvorkehrungen fehlen einfach. Wer ist daran schuld? Die Twitter-Leute oder die Entwickler der Services? Ich habe keine Ahnung.

Was ich auch nicht weiß, ist , was Evan Williams, einer der Twitter-Gründer, heute im Weißen Haus gemacht hat. Er war möglicherweise eingeladen – so die Spekulationen –, um der US-Regierung zu helfen, Wege aus der Krise zu finden.“

Auch Ben Metcalfe hat sich Gedanken zum Twitter-Hack gemacht.

Er weist darauf hin, dass eine kurze, aber nicht jugendfreie Suche bei Twitter zeigt, dass Howlett mit seiner unangenehmen Erfahrung bei weitem nicht alleine ist. Twitter selbst spricht in einem Blogposting von 750 betroffenen Accounts.

Laut Metcalfe ist die wahrscheinlichste Ursache, die den Missbrauch des Accounts ermöglichte, einer der vielen Twitter-Services von Drittanbietern. Bei einem davon, so Metcalfe, muss die Liste mit Twitter-Benutzernamen und Passwörtern abhanden gekommen sein. Da diese Services sich bei Twitter authentifizieren müssen, sei es nicht möglich, diese Listen verschlüsselt abzuspeichern. Scheinbar habe Twitter das Problem auch schon erkannt, die Arbeit an OAuth sieht er als Beleg dafür.

Bis es so weit ist, empfiehlt Metcalfe, vier einfache Regeln zu beachten, um Sicherheitsrisiken des Twitter-Accounts zu minimieren:

1. Passwort ändern – insbesondere wenn man Opfer einer Attacke war
2. Twitter-Passwort niemals auch für andere Dienste benutzen
3. genau abwägen, welchen anderen Seiten man die Kombination aus Twitter-Nutzername und –Passwort überlässt
4. das Passwort so oft wechseln, dass ältere Seiten, die man nicht mehr nutzt, nicht noch über das aktuelle Passwort verfügen