Der Sicherheitsexperte Brian Krebs hat einen möglichen Hintermann der jüngsten Angriffe auf Twitter-Konten von Prominenten und Unternehmen identifiziert. Indizien deuten offenbar auf einen Täter aus dem Umfeld von SIM-Karten-Hackern hin, der sich hinter dem Pseudonym PlugWalkJoe verbergen soll. Laut einer Quelle aus der Sicherheitsbranche handelt es sich um einen 21-jährigen Briten aus Liverpool namens Joseph James Connor.
Auf die Spur des Briten kam Krebs nach eigenen Angaben über Tweets von Nutzer aus der SIM-Hacker-Szene. Auf von ihnen gekaperten Twitter-Konten wurden Screenshots von internen Tools von Twitter-Mitarbeitern veröffentlicht – von den Tools also, die laut offiziellen Angaben von Twitter für die Kaperung der Konten von Prominenten benutzt wurden.
Ursprünglich sollen es die Hintermänner auf OG-Konten abgesehen haben, deren Kontonamen sehr kurz sind und nur aus einem oder wenigen Zeichen bestehen. In den Kreisen der SIM-Hacker sollen die Übernahme solcher Konten als Statussymbol angesehen werden.
Kurz vor dem Twitter-Hack habe in einem Forum der SIM-Hacker-Community ein Nutzer namens Chaewon damit geprahlt, er könne die E-Mail-Adresse zu jedem beliebigen Twitter-Konto ändern, für nur 250 Dollar. Für 2000 bis 3000 Dollar liefere er sogar einen direkten Zugang zu einem speziellen Konto. Sein Angebot beinhaltete sogar eine Geld-Zurück-Garantie.
Wenige Stunden vor den Angriffen kaperten die Hintermänner laut Krebs das Twitter-Konto @6, das früher dem Hacker Adrian Lamo gehörte und nun im Besitz eines Sicherheitsforschers namens Lucky225 sei. Er sei von Twitter automatisiert über die Änderung der E-Mail-Adresse seines Twitter-Kontos informiert worden. Die von ihm genutzte Zwei-Faktor-Authentifizierung per mobiler App hätten die Angreifer erfolgreich ausgehebelt und ihn aus seinem Konto ausgesperrt.
„Der Angriff funktionierte so, dass man in den Admin-Tools von Twitter anscheinend die E-Mail-Adresse jedes Twitter-Benutzers aktualisieren kann, und zwar ohne irgendeine Art von Benachrichtigung an den Benutzer“, sagte der Forscher im Gespräch mit KrebsOnSecurity. „So konnten [die Angreifer] der Entdeckung entgehen, indem sie zuerst die E-Mail-Adresse des Kontos aktualisierten und danach die Zwei-Faktor-Authentifizierung ausschalteten.“
Twitter selbst äußerte sich bisher nicht zum Ablauf des Angriffs. Das Unternehmen teilte jedoch mit, dass es bisher keine Hinweise dafür gefunden habe, dass die Hacker auch Passwörter von Nutzern kompromittiert hätten. Von daher sei es derzeit nicht geplant, Nutzerpasswörter zurückzusetzen.
Laut Twitter wurde jedoch bei einigen Konten das Verfahren zum Ändern des Kennworts ausgesetzt. Damit soll verhindert werden, dass weitere Konten gekapert werden.
Seine Untersuchungen setzt Twitter indes fort. Auch US-Strafverfolger haben inzwischen Ermittlungen eingeleitet.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…