Vor über einem Monat erhielt ich zusammen mit einigen anderen eine E-Mail von Twitter. Darin informierte uns das Unternehmen, dass wir Ziel eines staatlichen Hackingangriffs wurden. Insgesamt fand ich 51 betroffene Accounts. Netzpolitik analysierte die Accounts und fand keine Gemeinsamkeiten, die für alle Konten gültig sind. So tappen wir alle im Dunkeln, warum wir die Mail von Twitter bekamen und was der Grund dafür ist.
Wir haben daher eine Liste von Fragen erarbeitet, die wir gern von Twitter beantwortet hätten. Schließlich möchten alle gern wissen, warum gerade sie Ziel der Angriffe waren. Auch wenn ein Teil der Antworten uns verunsichern würde.
Bei unserem Treffen auf dem 32C3 haben wir alle mögliche Theorien und Phantasien hin und hergewälzt. Aber gefühlt sind wir dem Thema nicht näher gekommen. Kennt jemand von euch noch Leute, die eine ähnliche Mail bekamen? Habt ihr vielleicht Ideen, warum Twitter diese Mails verschickte? Hinterlasst doch hier oder auf unserer Seite einen Kommentar.
Weitere Blogpostings:
Vor vielen Jahren legte ich mir bei Amazon eine Wunschliste an. Diese war zum einen als Merkzettel für mich gedacht und zum anderen konnten andere darauf zugreifen, um mir einen Wunsch zu erfüllen.
Dort landete unter anderem auch das Buch »Privacy on the line« von Whitfield Diffie und Susan Landau (Sie ist u.a. auch Tor-Unterstützerin.). Die Beschreibung klang sehr interessant:
In Privacy on the Line, Whitfield Diffie and Susan Landau strip away the hype surrounding the policy debate over privacy to examine the national security, law enforcement, commercial, and civil liberties issues. They discuss the social function of privacy, how it underlies a democratic society, and what happens when it is lost. This updated and expanded edition revises their original—and prescient—discussions of both policy and technology in light of recent controversies over NSA spying and other government threats to communications privacy.
Aber weder kaufte ich das Buch noch kaufte es mir eine andere Person. Aber jetzt habe ich einen Grund, es zu lesen. Das Buch kann über die Webseite kostenlos heruntergeladen werden. Auf https://mitpress.mit.edu/books/privacy-line findet ihr einen Download-Link, der euch direkt zur PDF-Version bringt. Das Buch ist weiterhin im Handel erhältlich und vermutlich werde ich es nach einigem Schmökern, dann doch endlich kaufen. 
Starting in mid-december several Twitter users received a mail from the company telling them that they were target of state-sponsored hacking. I blogged in German about it. Today it is still unclear why Twitter sent out this mail.
Did you ask Twitter and received an answer? Do you have an explanation? Let’s meet at 32C3! Come at 20:00 to Hall 13. We’ll sit down and try to find some answers or develop strategies to find answers.
Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.
Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.
Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.
Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. 
Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.
Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.
Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.
Die rot-rot-grüne Koalition hat sich für die laufende Legislaturperiode einige Projekte vorgenommen. Eines davon, was auch mich interessiert, ist das Transparenzgesetz. Sowohl bei InSüdthüringe.de wie auch bei der TA war zu lesen, dass es bereits im Jahr 2015 erste Vorstöße geben soll.
Diese Meldungen nahmen einige Privatbürger zum Anlass, um ebenfalls mit einer Diskussion zu beginnen. So gibt es das Twitter-Konto @ThuerTG, welches Beiträge in die Diskussion einbringt. Weiterhin liegt auf einem Pad eine Sammlung von Ideen, Gedanken etc.
Um die Diskussion etwas zu sammeln, habe ich eine Mailingliste angelegt. Dort können sich alle interessierten Personen einschreiben. Schickt einfach eine leere E-Mail an die Adresse transparenzgesetz-subscribe@kubieziel.de. Ihr bekommt dann eine E-Mail zur Bestätigung. Danach könnt ihr Beiträge verfassen und bekommt Mails von anderen. Die E-Mail-Adresse, um Mails an alle eingeschriebenen Personen zu senden, ist transparenzgesetz@kubieziel.de. Falls ihr Fragen habt, schreibt mir eine Nachricht. Ich versuche gern zu helfen.
Auf der organisatorischen Schiene ist natürlich noch einiges zu tun. Aus meiner Sicht sollte das Projekt unbedingt eine aussagekräftige Webseite bekommen. Diese ist vermutlich der erste Anlaufpunkt für jegliche Informationen zum Transparenzgesetz. Ich stelle mir vor, dass es dann dort eine Discourse-Instanz für alle Diskussionen gibt. Mal sehen, wie die Entwicklung weiter geht.