Twitter: Absicherung der Benutzerkonten Gebot der Stunde

Ben Carr kommentiert die jüngsten Angriffe Cyber-Krimineller gegen Twitter

[datensicherheit.de, 19.07.2020] Ben Carr, „CISO“ bei Qualys Inc., geht in seinem aktuellen Kommentar auf die jüngsten Angriffe Cyber-Krimineller gegen die Social-Media-Webplattform Twitter ein. „Das Konto-Highjacking bei Twitter hat die Frage aufgeworfen, wie das bei der beliebten Social-Media-Plattform geschehen konnte und wer das eigentliche Ziel gewesen sein könnte. Infolgedessen fragen sich viele Nutzer von Social-Media-Plattformen, ob ihre eigenen Konten sicher sind.“ Der Qualys-CISO wirft im Kontext dieses Vorfalls selbst kritische Fragen auf, z.B. warum Twitter den eigenen Mitarbeitern weiterhin die Möglichkeit bieten sollte, Benutzerkonten zu kontrollieren, und ob diese Möglichkeit schon einmal intern zum Versenden von Tweets im fremden Namen genutzt wurde – ohne das Wissen der eigentlichen Inhaber der betreffenden Twitter-Konten…

Foto: Qualys Inc.

Ben Carr: Wie immer, wenn es zu gut scheint: eine Lüge!

Angriff: Mittels Social Engineering über Mitarbeiterkonto Zugang zu Twitter erlangt

Die ersten Informationen schienen darauf hinzudeuten, dass der Datenschutzvorfall auf einem Angreifer basiert habe, welcher sich mittels ,Social Engineering‘ über ein Mitarbeiterkonto Zugang zu internen Systemen verschafft habe. Carr erläutert: „Er benutzte dann jenes Konto, um auf ein Verwaltungswerkzeug innerhalb des Twitter-Systems zuzugreifen, das es ihm ermöglichte, die Kontrolle über die Benutzerkonten zu übernehmen.“

Offensichtlich eine Betrugsmasche, um Bitcoin von Followern hochrangiger Twitter-Konten zu erhalten

Mit diesem Tool habe er den Zugriff auf die gekaperten Konten steuern oder sperren können. Während sich die anfängliche Aktivität auf den Verkauf von Vanity-Accounts beschränkt habe, „entwickelte sie sich schnell zu einer Betrugsmasche, um Bitcoin von Followern hochrangiger Twitter-Konten berühmter Persönlichkeiten zu erhalten“. Diese seien aufgefordert worden, Bitcoins im Wert von 1.000 US-Dollar zu bezahlen, um dann im Gegenzug die doppelte Summe in Bitcoins zurückzuerhalten.

Innerhalb weniger Stunden über 100.000 US-Dollar von Followern bei Twitter-Promi-Konten generiert

„Wie immer, wenn es zu gut scheint, um wahr zu sein, ist es das auch in diesem Fall eine Lüge gewesen“, betont Carr. Innerhalb weniger Stunden seien über 100.000 US-Dollar von Followern generiert worden, welche dem Betrug zum Opfer gefallen seien. „Es ist klar, was passiert ist, aber unklar, wie es geschehen konnte. Was die Öffentlichkeit weiß, ist, dass noch viel zu viele Organisationen kritische Benutzerkonten betreiben und Zugang zu diesen haben, ohne dass eine Multifaktor-Authentifizierung zur doppelten Absicherung genutzt wird.“

Mitarbeiter von Twitter konnten offenbar einfach Benutzer-Konten übernehmen und in deren Namen ungefragt Tweets absetzen

Gleichzeitig nähmen viele Organisationen grundlegende „Cyber-Hygiene“ nicht ernst und vernachlässigten das Patchen von Systemen, von denen bekannt sei, dass sie anfällig sind. „Wenn die ersten Berichte der Wahrheit entsprechen, dann können Mitarbeiter von Twitter Konten einfach übernehmen und im Namen der eigentlichen Kontoinhaber Tweets ohne deren Zustimmung versenden“, erläutert Carr. Dies könnte eine der besorgniserregendsten Enthüllungen in diesem Fall sein.

Schnell illegal Geld verdienen: Attacke auf Twitter als „Smash and Grab“-Versuch

Carr wirft Fragen auf: „Warum sollte Twitter den Mitarbeitern weiterhin die Möglichkeit bieten, Benutzerkonten zu kontrollieren? Wurde diese Möglichkeit schon einmal intern genutzt, um Tweets loszuschicken, ohne das Wissen der Kontoinhaber?“ Wenn die wahre Absicht des Angreifers tatsächlich auf die Promi-Accounts abgezielt habe, dann wäre dies nicht öffentlich und in einer Art und Weise geschehen, die noch mehr Schaden anrichten würde. Denn bei der aktuellen Geschichte sei es um einen schnellen digitalen „Smash and Grab“-Versuch gegangen, der darauf abgezielt habe, schnell Geld zu verdienen.

Hohe Verantwortung von Twitter im Kontext der nächsten US-Präsidentschaftswahl

Es hätte laut Carr noch viel schlimmer kommen können: „Man stelle sich vor, dass mitten in der bevorstehenden US-Präsidentschaftswahl ein Twitter-Konto eines der Kandidaten kompromittiert werden würde. Was könnte der potenzielle Schaden eines solchen Vorfalls sein?“ Social-Media-Plattformen hätten eine erhöhte Verantwortung, die Sicherheit des Systems zu gewährleisten, um die Integrität des Diskurses zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2020
Promi-Phishing auf Twitter: Mögliche Angriffswege / Am 15. Juli 2020 wurde die Welt zum Zeugen einer groß angelegten Phishing-Kampagne auf Twitter

datensicherheit.de, 16.07.2020
Twitter: Promi-Konten gehackt / Tim Berghoff erläutert Schutzmaßnahmen für Twitter-Anwender und Nutzer anderer Sozialer Medien