Veröffentlichte Zugangsdaten: Twitter warnt Nutzer

Twitter hat nach Veröffentlichung von mutmaßlichen Zugangdaten für fast 33 Millionen Konten Warnungen an Nutzer verschickt. Auch in einem Blogbeitrag geht es auf die Thematik ein, betont aber, es habe auf seinen Servern keinen bekannten Sicherheitsvorfall gegeben. Man sei „zuversichtlich“, dass dies nicht die Quelle sei.

Wie viele Anwender genau eine solche Benachrichtigung erhielten, ist unbekannt. Gegenüber dem Wall Street Journal sagte das Unternehmen aber, die Zahl gehe in die „Millionen“. Weitere Millionen Zugangsdaten seien nicht oder nicht mehr gültig. Die Warn-Mails gingen also möglicherweise nur an Anwender, deren gepostete Log-in-Daten echt waren.

Insbesondere sind die im Dark Web zum Kauf angebotenen Zugangsdaten mit Passwörtern im Klartext versehen. Twitters Trust and Information Security Officer Michael Coates betont aber, das Unternehmen speichere Passwörter grundsätzlich mit Bcrypt verschlüsselt ab. Simple Passwörter könnten dann immer noch mit Brute Force geknackt werden, wenden Kritiker ein. Dass die Daten aber direkt von Twitters Server stammen, wird dadurch dennoch unwahrscheinlicher.

Die Kombination von Kontonamen und Passwort könnte vielmehr aus anderen jüngsten Datendiebstählen stammen, spekuliert Twitter. Auch eine Passwörter stehlende Malware oder eine Kombination aus beidem sei denkbar. Das Unternehmen ergreife aber unabhängig davon zügig Maßnahmen zum Schutz seiner Nutzer.

Die Daten sind – ebenso wie die zuletzt ebenfalls im Dark Web angebotenen Zugangsdaten für LinkedIn, Myspace und VKontakte – in der Datenbank von LeakedSource vertreten. Anwender können dort überprüfen, ob irgendwelche ihrer Konten betroffen sind. Für den Zugriff auf Detailinformationen macht LeakedSource eine kostenpflichtige Mitgliedschaft erforderlich. Auch Twitter hat bei der Überprüfung mit LeakedSource kooperiert.

Twitter rät allen Betroffenen, Zwei-Faktor-Authentifizierung zu aktivieren, nur starke und für jede Website andere Passwörter zu verwenden sowie für die Verwaltung einen Passwort-Manager einzusetzen.

Am Wochenende hatten Hacker behauptet, sie hätten das Twitter-Konto von Facebook-Gründer Mark Zuckerberg geknackt. Das Passwort wollen sie den ebenfalls im Internet zum Verkauf angebotenen 117 Millionen Anmeldedaten von LinkedIn-Nutzern entnommen haben.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.