Skip to content

Gründe des Hackingangriffs auf Twitter-Nutzer weiter im Dunkeln

Vor über einem Monat erhielt ich zusammen mit einigen anderen eine E-Mail von Twitter. Darin informierte uns das Unternehmen, dass wir Ziel eines staatlichen Hackingangriffs wurden. Insgesamt fand ich 51 betroffene Accounts. Netzpolitik analysierte die Accounts und fand keine Gemeinsamkeiten, die für alle Konten gültig sind. So tappen wir alle im Dunkeln, warum wir die Mail von Twitter bekamen und was der Grund dafür ist.

Wir haben daher eine Liste von Fragen erarbeitet, die wir gern von Twitter beantwortet hätten. Schließlich möchten alle gern wissen, warum gerade sie Ziel der Angriffe waren. Auch wenn ein Teil der Antworten uns verunsichern würde.

Bei unserem Treffen auf dem 32C3 haben wir alle mögliche Theorien und Phantasien hin und hergewälzt. Aber gefühlt sind wir dem Thema nicht näher gekommen. Kennt jemand von euch noch Leute, die eine ähnliche Mail bekamen? Habt ihr vielleicht Ideen, warum Twitter diese Mails verschickte? Hinterlasst doch hier oder auf unserer Seite einen Kommentar.

Weitere Blogpostings:

Ich bin Opfer staatlichen Hackings

Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.

Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. :-) Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.

Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.

Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.

25 Jahre Phrack

Die Phrack Ausgabe 67 markierte das 25-jährige Jubiläum des Magazins. Herzlichen Glückwunsch:

                                 \\\ ,
                                  \ `|
                                   ) (   .-“”-.
                                   | |  /_  {  ‘.
                                   | | (/ `\   } )
                                   | |  ^/ ^`}   {
                                   \  \ \=  ( {   )
                                    \  \ ‘-, {   {{
                                     \  \_.’  ) }  )
                                      \.-’   (     (
                                      /’-.’_. ) (  }
                                      \_(    {   _/\
                                       ) ‘--’ `-;\  \
                                   _.-’       /  / /
                            <\/>_.’         .’  / /
                        <\/></\>/.  '      /<\// /
                        </\>  _ |\`- _ . -/|<// (
                     <\/>    - _- `  _.-’`_/- |  \
                     </\>        -  - -  -     \\\
                      }`<\/>                <\/>`{
                      { </\>-<\/>_<\/>_<\/>-</\> }
                      }      </\> </\> </\>      {
                   <\/>.                         <\/>
                   </\>                          </\>
                    {`<\/>                     <\/>`}
                    } </\>-<\/>_<\/>_<\/>_<\/>-</\> {
                    {      </\> </\> </\> </\>      }
                    }                               }
                    {           H A P P Y           {
                    }                               }
                    {             25th              {
                 <\/>                               <\/>
                 </\>        B I R T H D A Y        </\>
                   `<\/>                          <\/>’
                jgs </\>-<\/>_<\/>_<\/>_<\/>_<\/>-</\>
                         </\> </\> </\> </\> </\>

Der Durchschnittshacker

Wenn ein Hacker/Cracker in ein Computer- oder besser informationstechnisches System eindringt, dann

  • wählt er sein Ziel genau aus,
  • ist er in der Regel ein Insider, der das Ziel kennt,
  • und ist ein kleines Genie, dem niemand so schnell das Wasser reichen kann.

So oder so ähnlich lauten die gängigen Vorurteile. Doch stimmt das wirklich? Verizon hat kürzlich eine Studie veröffentlicht. Dort wurde anhand 500 Einrüche in Rechner innerhalb der letzten vier Jahre geprüft, ob denn das so stimmt.

Sie fanden heraus, dass die Mehrzahl der Vorfälle (85%) zufälliger Natur waren. Den Einbrechern war bis zum Einbruch, dass Ziel nicht bekannt. Die Intensität der Angriffe von innen ist größer als bei denen eines externen Angreifers. Allerdings ist die reine Zahl von Insiger-Angriffen wesentlich kleiner (Verhältnis etwa 1:3). Die Überzahl der Angriffe wird von Script-Kiddies durchgeführt. Ein relativ kleiner Anteil der Vorfälle benötigt “erweiterte Kenntnisse”.

Es geht zwar kaum etwas über ein gesunder Vorurteil. :-) Die Studie zeigt deutlich, dass vieles eben nur Vorurteile sind. Eine wichtige Erkenntnis am Rande: Über ein Viertel der Viren waren für das Ziel handgeschmiedet und die Virenscanner erkannten diesen nicht.

via Errata Security

tweetbackcheck