Berichten zufolge wurden die Daten von 400 Millionen Twitter-Nutzern, darunter private E-Mail-Adressen und damit verbundene Telefonnummern, auf dem Schwarzmarkt zum Verkauf angeboten.
Das Cybercrime-Nachrichtendienst Hudson Rock wies am 24. Dezember über Twitter auf eine „glaubwürdige Bedrohung“ hin, bei der angeblich jemand eine private Datenbank mit den Kontaktinformationen von 400 Millionen Twitter-Benutzerkonten verkauft.
„Die private Datenbank enthält eine verheerende Menge an Informationen, darunter E-Mails und Telefonnummern von hochkarätigen Benutzern wie AOC, Kevin O'Leary, Vitalik Buterin und mehr“, erklärte Hudson Rock und fügte hinzu:
„In dem Beitrag behauptet der Bedrohungsakteur, die Daten seien Anfang 2022 aufgrund einer Sicherheitslücke bei Twitter erlangt worden. Außerdem habe er versucht, Elon Musk zu erpressen, die Daten zu kaufen oder sich DSGVO-Klagen zu stellen.“
Hudson Rock erklärte, dass man angesichts der Anzahl der Konten die Behauptungen des Hackers zwar nicht vollständig verifizieren könne, eine „unabhängige Überprüfung der Daten selbst jedoch legitim erscheint“.
BREAKING NEWS: Hudson Rock hat herausgefunden, dass ein glaubwürdiger Bedrohungsakteur die Daten von 400.000.000 Twitter-Benutzern verkauft. Die private Datenbank enthält eine verheerende Menge an Informationen, darunter E-Mails und Telefonnummern von hochkarätigen Benutzern wie AOC, Kevin O'Leary, Vitalik Buterin und mehr (1/2). pic.twitter.com/wQU5LLQeE1
– Hudson Rock (@RockHudsonRock), 24. Dezember 2022
Das Web3-Sicherheitsunternehmen DeFiYield hat sich außerdem 1.000 Konten angesehen, die der Hacker als Beispiel angegeben hatte, und verifiziert, dass die Daten „echt“ sind. Es hat den Hacker auch über Telegram kontaktiert und darauf hingewiesen, dass er dort aktiv auf einen Käufer wartet.
Sollte sich dieser Verstoß als wahr herausstellen, könnte er für Krypto-Twitter-Nutzer Anlass zu großer Sorge geben, insbesondere für diejenigen, die unter einem Pseudonym agieren.
Einige Benutzer betonten jedoch, dass ein derart groß angelegter Verstoß schwer vorstellbar sei, da die Zahl der aktiven Benutzer monatlich Berichten zufolge bei rund 450 Millionen liege.
Zum Zeitpunkt des Schreibens dieses Artikels hat der angebliche Hacker noch immer einen Beitrag auf Breached veröffentlicht, in dem er die Datenbank Käufern anbietet. Darin findet sich auch eine konkrete Aufforderung an Elon Musk, 276 Millionen Dollar zu zahlen, um den Verkauf der Daten zu verhindern und eine Geldstrafe der Datenschutz-Grundverordnung zu riskieren.
Wenn Musk die Gebühr zahlt, werden die Daten laut dem Hacker gelöscht und an niemanden weiterverkauft, „um zu verhindern, dass viele Prominente und Politiker Phishing, Krypto-Betrug, SIM-Swapping, Doxxing und andere Dinge betreiben.“
Anzeige in Hacker-Datenbank: Gebrochen
Die fraglichen Daten stammen vermutlich aus dem „Zero-Day-Hack“ auf Twitter, bei dem eine Schwachstelle in der Anwendungsprogrammierschnittstelle vom Juni 2021 ausgenutzt wurde, bevor sie im Januar dieses Jahres gepatcht wurde. Der Fehler ermöglichte es Hackern im Wesentlichen, private Informationen abzugreifen, die sie dann in Datenbanken zusammenstellten, um sie im Dark Web zu verkaufen.
Neben dieser angeblichen Datenbank wurden zuvor noch zwei weitere identifiziert. Eine umfasst rund 5,5 Millionen Benutzer, eine andere soll bis zu 17 Millionen Benutzer umfassen, heißt es in einem Bericht von Bleeping Computer vom 27. November.
Zu den Gefahren, die durch das Online-Durchsickern solcher Informationen entstehen, zählen gezielte Phishing-Versuche per SMS und E-Mail, SIM-Swap-Angriffe zum Erlangen von Zugriff auf Konten und das Doxing privater Informationen.
Dies bringt einige ernsthafte Bedenken mit sich.#1- Die Identitäten vieler Pseudokonten werden öffentlich sein, was Risiken für sie birgt.#2- Mit einer Telefonnummer ist es super einfach, die Adresse und Bankdaten einer Person herauszufinden.#3- Mehrere Phishing-Versuche per Mobiltelefon, physisch oder per E-Mail
— Haseeb Awan – efani.com (@haseeb) 25. Dezember 2022
Den Nutzern wird geraten, Vorsichtsmaßnahmen zu ergreifen. So sollten sie beispielsweise sicherstellen, dass für ihre verschiedenen Konten die Zwei-Faktor-Authentifizierung über eine App und nicht über ihre Telefonnummer aktiviert ist. Außerdem sollten sie ihre Passwörter ändern und sicher aufbewahren und ein privates, selbst gehostetes Krypto-Wallet verwenden.