Hacker: Ich habe in Twitter eingebrochen

Zum zweiten Mal in diesem Jahr hat ein Hacker administrativen Zugriff auf ein Twitter-Mitarbeiterkonto erhalten.

Am Mittwoch hat ein anonymer Hacker namens Hacker Croll offenbar 13 Screenshots in ein französisches Online-Diskussionsforum hochgeladen aufgenommen, während in den Twitter-Account von Jason Goldman, einem Direktor des Produktmanagements mit Twitter angemeldet.

Twitter Co-Gründer Biz Stone bestätigte die Verletzung in einem Blog-Post Donnerstag Nachmittag. "Diese Woche wurde der unerlaubte Zugang zu Twitter von einer externen Partei gewonnen", schrieb er. "Unsere ersten Sicherheitsüberprüfungen und -untersuchungen zeigen, dass keine Kontoinformationen geändert oder entfernt wurden. Wir haben jedoch festgestellt, dass während dieses unautorisierten Zugriffs 10 einzelne Konten angezeigt wurden."

[Weitere Informationen: Entfernen von Malware von Windows PC]

Laut den Screenshots konnte Hacker Croll auf Account-Informationen von Twitter-Nutzern wie Britney Spears und Ashton Kutcher zugreifen. Er könnte auch Dinge tun, wie das Hinzufügen oder Entfernen von vorgestellten Benutzern, die neuen Twitter-Mitgliedern bei der Anmeldung vorgeschlagen werden.

Der Hacker könnte auf Informationen wie E-Mail-Adressen, Mobiltelefonnummern und a Liste der von diesen Benutzern blockierten Konten, schrieb Stone. "Wir haben Twitter-Nutzer persönlich kontaktiert, deren Accounts durch diesen unbefugten Zugriff kompromittiert wurden."

Geahnte Passwörter

Hacker Croll behauptete, Zugang zu Goldmans Twitter-Passwort erhalten zu haben, indem er Zugang zu seinem Yahoo-Account erlangte. "Einer der Admins hat einen Yahoo Account, ich habe das Passwort zurückgesetzt, indem ich die geheime Frage beantwortet habe. Dann habe ich im Mailbox ihr [sic] Twitter Passwort gefunden", sagte Hacker Croll Mittwoch in einem Posting zu einem Online Diskussionsforum. "Ich habe nur Social Engineering, keinen Exploit, keine xss-Schwachstelle, keine Hintertür, np sql injection benutzt."

Am Montag schickte Goldman eine Twitter-Nachricht, dass sein Yahoo-Mail-Account gehackt wurde.

Twitter hat hatte in diesem Jahr eine Reihe von Sicherheitsproblemen.

Im Januar sagte ein anderer Hacker mit dem Namen GMZ, er habe Zugang zu einem Administratorkonto erhalten, indem er das Passwort eines Twitter-Supportmitarbeiters erraten habe. Das Passwort war angeblich ein leicht zu erratendes Wort: Glück.

GMZ nutzte diesen Zugang, um die Kontrolle über 33 hochkarätige Konten zu übernehmen, darunter die für Spears, US-Präsident Barack Obama und Fox News.

Wiederholte Angriffe

Twitter wurde in diesem Jahr auch von mehreren sich schnell ausbreitenden Wurmattacken heimgesucht, die auf Web-Programmierfehlern auf der Seite herumschwärmten.

Obwohl Twitter-Chef Biz Stone eine "vollständige Sicherheitsüberprüfung aller Zugriffspunkte auf Twitter" versprach Januar-Ereignis, die Sicherheit der Website ist "sehr schwach", nach Manuel Dorne, der Französisch Blogger und IT-Projektleiter, der zuerst Nachrichten des neuesten Twitter-Hack veröffentlicht.

Stone machte ein ähnliches Versprechen dieses Mal auch. "Twitter nimmt die Sicherheit sehr ernst, daher werden wir eine gründliche, unabhängige Sicherheitsüberprüfung aller internen Systeme durchführen und zusätzliche Einbruchsschutzmaßnahmen implementieren, um die Benutzerdaten weiter zu schützen", schrieb er am Donnerstag.

Jeder, der versucht, sich bei admin anzumelden. twitter.com erhält eine Anmeldeaufforderung, und da Twitter-Benutzernamen bereits öffentlich sind, müssen Angreifer nur das Passwort erraten. Das hätte mit Goldmans Bericht geschehen können, sagte Dorne. "Vielleicht war das Passwort der Name seines Kindes oder seiner Frau und der Hacker wusste es."

Diese Art von Angriffen, die von Forschern als Social-Engineering-Angriffe bezeichnet werden, sind effektiv und alltäglich. Letztes Jahr nutzte ein Hacker die von Hacker Croll beschriebene Technik, um Zugang zum Yahoo-E-Mail-Konto der Vize-Präsidentschaftskandidatin Sarah Palin zu erhalten.

"Wir müssen vorsichtig sein und Social-Engineering-Angriffe nicht unterschätzen", sagte Lance James, Mitbegründer der Beratungsfirma Secure Science, via Sofortnachricht. "Wenn sie arbeiten, um Geld von Banken zu stehlen, wird es einfach sein, soziale Netzwerke wie Twitter zu entführen."