Kürzlich drangen Unbekannte in meinen Account bei dem Zwitscherdienst ein – der erste Hack in gut zwanzig Jahren im Internet. Das Ereignisprotokoll.
Es war vor ziemlich genau vier Wochen, freitagabends kurz nach 23 Uhr, der Spielfilm im Fernsehen gerade vorbei, und ich schaue kurz aufs Smartphone: Huch, mehrere an mich gerichtete Botschaften auf Twitter, sogenannte @-Replies – ziemlich untypisch für diese Uhrzeit.
Direkt beim Lesen der ersten Nachricht wird mir gleichzeitig heiß und kalt: „Konto gehackt?“, fragt da einer meiner Follower kurz und bündig. Ganz ähnlich die anderen. Zum Glück, der Rechner in meinem Büro ist an – und Tweetdeck, wie fast immer, ebenfalls.
Dort klicke ich auf mein eigenes Profil und sehe: Dort, wo sonst „Michael Kroker“ im Klarname steht, heißt es jetzt „@Sydney“. Und statt meines Konterfeis prangt dort ein, nun ja, leicht bekleideter Frauenoberkörper. Phew.
Einen Tweet abszusetzen klappt aber noch – ein kurzes „Shit“ muss dazu reichen. Ich weiß, dass es nun schnell gehen muss, damit der Angreifer mein Konto nicht komplett übernimmt (daher habe ich auch keine Screenshots von der modifizierten Twitter-Startseite). Am Browser versuche ich das Kennwort zu ändern – das funktioniert nicht mehr, da war der Hacker also bereits schneller.
Jetzt bleibt also nur noch, das Passwort per E-Mail-Code ans eigene Postfach zurückzusetzen. Hoffentlich hat der Angreifer die Adresse nicht auch schon geändert, sonst ist’s zu spät. Zum Glück habe ich neben der Registrierungs-E-Mail ein zweites Postfach für derartige Sicherheitsabfragen voreingestellt.
Zwei Klicks, und das Passwort ist zurückgesetzt; schnell einloggen beim Webmailer, den Code anklicken, ein neues Twitter-Passwort vergeben – und dann: durchatmen… puuh! Wie ich nachher im Log-Bereich des Kurznachrichtendienstes sehe, dauert es zwischen dem Eindringen des Hackers – 23:10 Uhr per Twitter.com Webseite von einer in Lissabon registrierten IP-Adresse – bis zum Zurückerobern um 23:13 Uhr gerade mal drei Minuten.
Mehrere Lehren aus dem Twitter-Hack
Bald sind auch User-Name und Profilbild wieder in den Ursprungszustand zurückversetzt. Die ganze Aktion lehrt mich letztlich mehrerlei: Zum einen sind die Twitter-Nutzer wirklich aufmerksam – neben mehreren Hinweisen in dem Kurznachrichtendienst erhalte ich auch eine Facebook-Nachricht und mehrere E-Mails.
Aber kaum auszudenken, ich wäre an jenem Abend nicht zu Hause gewesen – was ja freitags durchaus vorkommen kann. Denn per Smartphone hätte ich gewiss nicht so schnell reagieren und zwischen dem Twitter- und E-Mail-Konto hin- und herschalten können. Zudem waren die Hacker vermutlich keine Profis, sonst hätten sie als zweites – nach dem Ändern des Passworts – die E-Mail-Adresse auf ein eigenes Konto geändert.
Per Whois-Abfrage der im Twitter-Log angegebenen IP kann ich noch ermitteln, dass jene Adresse auf einen Russen aus der Region Kaluga, einer Stadt rund 200 Kilometer südwestlich von Moskau registriert ist. Zudem taucht jener Registrierungsname noch häufiger im Web bei Problemreports rund um IT-Sicherheit auf. Ansonsten verläuft sich die Spur an dieser Stelle.
Zu guter Letzt habe ich mein Twitter-Konto jetzt per Zwei-Faktor-Authentifizierung abgesichert – das bedeutet: neben dem Passwort (das übrigens vor dem Hack bereits 18-stellig inklusive Zahlen und Buchstaben war!) muss man beim Einloggen einen 6-stelligen Zahlencode eingeben, der auf das zuvor registrierte Handy geschickt wird.
Verwandte Artikel:
Infizierungen mit Ransomware auf 56.000 gestiegen; gefordertes Lösegeld verdoppelt
Ein Drittel der Firmen mit IT-Security-Problemen – 2/3 fürchten Datenmissbrauch
IT-Sicherheit: Im Schnitt drei Prozent aller Mobil-Geräte von Schadsoftware betroffen
IT-Sicherheit: 3 Viertel der IT-Entscheider sehen Systemschutz per Passwort kritisch
Danke für den Bericht. Jetzt hat man wenigstens eine Art Blaupause, wenn einem dasselbe einmal passiert.
Gibt es Hinweise darauf, _wie_ es dem Hacker gelungen, war, in das Konto einzudringen? Denn ein 18-stelliges Passwort per Brute-Force zu knacken, dürfte nahezu unmöglich sein.
War es eine Lücke bei Twitter, per Phishing oder Virus/ Trojaner geholt, oder wurde das Passwort noch für einen anderen Dienst verwendet, der früher schon gehackt wurde?
Ich verwende keine 18 Stellen und mache mir daher Gedanken um die Sicherheit von meinem Passwort.
Die Ursache bzw. Sicherheitslücke des Hacks interessiert mich noch viel mehr als der Report – woran lag es, dass der Hacker das Konto übernehmen konnte?
Vielen Dank für diese´n Beweis, dass die Mär vom sicheren langen Passwort endlich gebrochen ist. Mir gehen (besonders in Unternehmen/Institutionen) die ganzen Regeln zur Passwortvergabe auf den Geist. Jedes System hat unterschiedliche Regeln und Minimalvorgaben. Nun der Beweis, dass es auch mit „sicheren“ Passwörtern keien Sicherheit gibt. 2-Faktor Authentisierung ist schon beser (Solange man keine Geräte benutzt, die auch Anderen zur Verfügung stehen)
Die Geschichte ist erdacht. 18 Stellen und dann genau dieser Account wären doch kein Zufall. Da wäre schon weit mehr als das Twitter Konto kompromittiert. Die Frage nach dem wie von Jan ist also mehr als berechtigt.
Twitter-Log? IP Adresse? Diese Dinge sind doch Datenschutzrechtlich bei Twitter gar nicht einsehbar!?
Alles klar, die Twitter Logs sind hier wohl die „Deine Twitter Daten“. Siehe hier https://support.twitter.com/articles/20172711
@Mike Hoffmann: Wieso sollte ich mir sowas ausdenken und hier posten?! Das alte Passwort (das ich aus diversen Gründen hier nicht posten kann und will) bestand aus einem zehnstelligen Wort (kein Alltagsbegriff) sowie einem achtstelligen Code aus Zahlen und Buchstaben (aber nicht durcheinander). Sprich – beides zusammen 18-stellig, aber so, dass ich es mir noch merken kann. Evtl. war das ja dann in der Kombination doch zu schwach.
@Dieter: Sorry, hätte ich vielleicht genauer beschreiben sollen – genau das: Unter „Einstellungen“ > „Deine Twitter-Daten“ (noch mal Passwort-gesichert).
Um Aufmerksamkeit und Clicks zu erhalten. Kein gescheiter Hacker lässt 18stellige Dictionaries durchlaufen. Zumal Twitter diese umgehend filtern würde. Das Passwort ist also wenn an anderer Stelle abgesaugt und damit eben weit mehr kompromittiert als der Twitter Account oder das hier nur eine Story.
Lieber Herr Hoffmann, danke für Ihren neuerlichen Kommentar. Ich bin kein IT-Sicherheitsprofi, sondern berichte regelmäßig über den Markt und entsprechende Veränderungen. Daher kann ich die Ursache des Hacks auch nicht hundertprozentig identifizieren, hoffe aber, durch die Offenheit hier a. zur Aufklärung und b. zum höheren Sicherheitsbewusstsein weiterer User beitragen zu können.
Dass Sie mir weiterhin unterstellen, dies hier sei nur eine Story für „Aufmerksamkeit und Klicks“, empfinde ich dagegen als üble Nachrede. Hier mal ein paar Beispiele von Mails/Kommentaren an jenem Abend:
1.) Twitter-Nutzer Jean-Claude Frick @jcfrick, 1.7.2016 um 23:15 Uhr:
@Kroker Dein Account wurde gehacked oder ?
https://twitter.com/jcfrick/status/748988322698133504
2.) Twitter-Nutzer Dirk Elsner @blicklog, 1.7.2016 23:15 Uhr:
Wurde der Account vom @Kroker gehakt? @egghat
https://twitter.com/blicklog/status/748988403883073542
3.) Twitter-Nutzer Clint Lohmann @julintus_c,1.7.2016 23:21 Uhr
@Kroker Gehackt oder Absicht?
https://twitter.com/julintus_c/status/748989833863958528
4.) Nutzer per FB Messenger an meine Facebook Page, 1.7.2016 um 23:18 Uhr:
„Moin Herr Kroker,
Ist Ihr Twitter-Account gehackt worden??“
Das nur mal als ein paar Beispiele/Beweise. Screenshots habe ich, wie erwähnt, nicht gemacht, da ich mich darum kümmern musste, das Konto zurückzugewinnen – und ich das schlicht nicht im Kopf hatte.
Ok, nehmen wir mal an, dass das PW ein gutes PW war, also nicht etwa der Name der Katze und ein paar Ziffern angehängt. Also nicht per /social engineering/ zu erraten. Dann sehe ich zwei Möglichkeiten, wie das Konto gehackt werden konnte:
1. Dasselbe PW wurde noch woanders genutzt und ist dort durch einen Hack oder durch Phishing abhanden gekommen. Hier ist der Autor noch die Antwort schuldig: Wurde das PW mehrfach verwendet, ja oder nein?
2. Rechner und/oder Smartphone sind infiziert; das PW wurde durch einen /keylogger/ abgezogen. Wurden die beteiligten Endgeräte *professionell* auf Schädlinge untersucht? Damit meine ich nicht, nur *einen* beliebigen Virenscanner durchlaufen zu lassen. –
Übrigens sehe ich einen deutlichen Widerspruch zwischen der Annahme eines Amateur-Angriffs und der wiederholten Verwicklung des entdeckten Angreifers in Sicherheitsvorfälle. Hier war ein Profi am Werk. Vermutlich hat einzig die schnelle Gegenwehr schlimmeres verhindert.
Da frage ich mich aber (wie bei fast allen Online-Diensten mit Kennwort-Abfrage), warum werden da keine 1 Tages-Sperren verhängt, wenn das Kennwort 10x falsch eingegeben wurde. So lassen sich die Hacks einigermaßen eingrenzen.
Alle meine Systeme, die ICH verwalte, sind so gesichert. Warum können das große Dienst-Anbieter nicht?
Lieber Herr Kroker, ich möchte meine Antwort auf Ihre Frage keineswegs als üble Nachrede verstanden wissen, auch ist es sicherlich sinnvoll, das Sicherheitsbewusstsein durch Aufklärung zu schärfen. Ich halte es aber für ungeeignet, Nutzer obendrein auf Kosten von Twitter, damit zu verunsichern, dass lange evtl. noch generische Passwörter unsicher seien. Es führt eher dazu, dass wieder kurze oder unsichere Passwörter gewählt werden („beim Kroker haben 18 Zeichen auch nicht geholfen…“). Vielleicht wäre es sinnvoll, die Fragen zum wie zu beantworten und wirklich aufzuklären. Zu den „Beweisen“: nehmen wir an, Status und Foto wären für einen solchen Test der Reaktion der dem Profil folgenden Nutzer selbst eingestellt worden, so wäre dieser Teil schon erklärt. Die Geschichte dazu wäre dann vielleicht etwas ausgeufert. Oder alternativ: wo und wie wurde das Passwort abgelegt oder sonst genutzt?
@Jupp Strunz: Zustimmung, eine Sperre gegen /brute force/ Angriffe (wie ansteigender /timeout/ nach Fehleingaben) sollte heute überall selbstverständlich sein. Aber die hätte hier höchstwahrscheinlich gar nicht geholfen. Bei einem so langen Passwort dürfte dieser Angriffsweg ausscheiden. Der Fehler hier liegt ganz klar beim Benutzer: Entweder PW mehrfach verwendet (Herr Kroker bitte?), oder mit infiziertem Gerät gearbeitet. Beides erlebe ich in meiner Praxis öfters.
Danke für die rege Kommentierungen.
@PC-Flüster Bremen: Der Rechner ist ziemlich neu und aktuell (Firewall etc.), daher sollte er eigentlich nicht infiziert sein; einen weiteren Scan muss ich noch vornehmen. Das Passwort habe ich in abgewandelter Form/Variation durchaus verwendet, aber dann müssten jene Konten ja auch gekapert worden sein??!
@Mike Hoffmann: Ich versuche ja aufzuklären – das war ja gerade der Beweggrund, das hier zu veröffentlichen. Mir ist die Art und Weise auch schleierhaft. Andere Konten sind jedenfalls bisher nicht befallen. Und das Handy ist ein ziemlich abgesichertes Dienstgerät; kann zwar nichts ausschließen, aber ob das infiziert ist?!
Wie sieht es denn mit der Möglichkeit aus, dass die Login-Daten irgendwie/wo bei Twitter selbst rausgesickert sind?! Dass Diensteprovider Datenlecks haben, tritt ja auch nicht allzu selten auf…
„Der Rechner ist ziemlich neu und aktuell (Firewall etc.), daher sollte er eigentlich nicht infiziert sein;“
Tja, eigentlich. Weder neu noch aktuell noch ein Firewall schützt vor Infektionen. Was hat Firewall mit Schutz vor Schädlingen zu tun? –
“ einen weiteren Scan muss ich noch vornehmen.“
*Einen* Scan? Aussagekraft = null. Ich sprach von einer *gründlichen* Überprüfung. Wenn ich Rechner untersuche, setze ich sieben bis zehn verschiedene Scanner ein, von denen der größte Teil von einem externen Medium bootet. Prüfungen im System haben nur sehr begrenzte Aussagekraft. – Alle freien angeblichen Virenschützer sind Placebos. Auch Rechner mit gekauftem Virenschutz und dennoch unerkannter Infektion hatte ich schon einige im Labor. Einzige Ausnahme ist GData; deren Selbstschutz ist so gut, dass ein infizierter Rechner sofort durch erhebliche Verlangsamung auffällt. Neue Schädlinge werden bei virustotal (VT) oft nur von wenigen der über fünfzig Scanner erkannt. Mein persönlicher /Lowscore/ 🙂 war ein Schädling (gekommen als Anhang einer SPAM), der anfangs von *keinem einzigen* Scanner bei VT erkannt wurde! Nach einigen Stunden oder Tagen steigt meist die Erkennungsrate.
Jedenfalls habe ich jetzt entschieden, diesen Vorfall nicht in meinem Blog zu erwähnen. Eigentlich ist es guter Stoff, aber die Aufklärung, wie der Hack erfolgen konnte, hat mir zu wenig Substanz.