Twitter: Hackangriff soll keine akute Gefahr für Nutzerkonten darstellen

Twitter dementiert die Behauptungen des Hackers “Mauritania Attacker”, er habe Anmeldedaten von Nutzern erbeutet. Offenbar hatte er nur Zugang zu einer Datenbank mit OAuth-Tokens, die aber nicht ausreichend sind, um sich direkt bei Twitter anzumelden, aber für weitere Angriffe verwendet werden können.

Laut einem Bericht der indischen Webseite Techworm hatte der Hacker mit dem Spitznamen “Mauritania Attacker” die Twitter-IDs, Nutzernamen und OAuth-Token-Informationen von 15.000 Twitter-Nutzern ausgespäht und über den Filehoster Zippyshare verbreitet.

Twitter: Hackangriff soll keine akute Gefahr für Nutzerkonten darstellen (Bild: Twitter)

Nach eigenen Angaben hatte er Zugang zu einer Datenbank, die Informationen enthält, mit deren Hilfe er beliebige Twitter-Konten kompromittieren und die private Kommunikation der Nutzer abfangen kann.

Twitter hat die Behauptungen des Hackers nun überprüft und dementiert, er habe Anmeldedaten von Nutzern erbeutet. Nach Auskunft eines Sprechers gab es weder einen Einbruch in ein Computersystem des Unternehmens, noch wurden Passwörter gestohlen. Das berichtet die britische Zeitung The Guardian.

Wie bereits vermutet hatte der Hacker offenbar nur Zugang zu einer Datenbank mit OAuth-Tokens. Das Protokoll wird von Apps von Drittanbietern benutzt, um eine Verbindung zu Twitter herzustellen.

Die Tokens sind jedoch nicht ausreichend, um sich direkt bei dem Sozialen Netzwerk anzumelden. Sie könnten aber für weitere Angriffe auf Twitter-Nutzer eingesetzt werden. Anwender, die Apps von Drittanbietern benutzen, um auf Twitter zuzugreifen, ist aber anzuraten, die dafür erteilten Genehmigungen zu widerrufen und neu zu erteilen. Dadurch werden neue OAuth-Tokens vergeben – die vorhandenen verlieren dann ihre Gültigkeit.

Nach einer Serie von Hackerangriffen auf prominente Twitter-Nutzer wie die Associated Press oder CBS News hatte das Unternehmen im Mai eine Zwei-Faktor-Authentifizierung eingeführt. Sie ergänzt die Anmeldung per Passwort um einen sechsstelligen Zahlencode, den Twitter an eine vorher hinterlegte Telefonnummer verschickt. F-Secure stellte kurz darauf fest, dass das Verfahren Lücken hat und sich per SMS-Spoofing vollständig aushebeln lässt.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Twitter: Hackangriff soll keine akute Gefahr für Nutzerkonten darstellen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *