Die erschreckend simple Technik hinter Jack Dorseys Twitter-Account-Hack
Während 15 Minuten war der Twitter-Account von CEO Jack Dorsey in fremder Hand. Mithilfe von SIM-Swapping verschafften sich Unbefugte Zugriff. Weshalb Twitter so anfällig für diesen Hack ist, liest du hier.
Chuckling Squad, wie sich die verantwortliche Gruppe nennt, veröffentlichte im Namen des Twitter-CEOs antisemitische Nachrichten und einen Link zu ihrem Discord-Channel. Wenig später wurde die Panne behoben und die Tweets entfernt. Dieser Zwischenfall zeigt, dass selbst der Chef eines grossen Social-Media-Unternehmens nicht vor Fremdzugriffen geschützt ist. Doch wie konnte so etwas überhaupt passieren?
Cloudhopper: Segen und Fluch zugleich
Die Hacker verschafften sich via Text-to-Tweet-Service Zugang: Über Cloudhopper – so heisst die Firma hinter der Dienstleistung – können Twitter-User ihre Tweets als SMS an eine Kurznummer senden und ihre 280 Zeichen so veröffentlichen. Ein nützliches Feature für all jene, die kein Smartphone besitzen, oder mal nicht auf die Twitter-App oder -Seite zugreifen können.
Dafür muss nur die Handynummer mit dem Twitter-Account verknüpft sein. Bei vielen Usern besteht diese Verknüpfung bereits, aus Sicherheitsgründen – welche Ironie. Ein Hacker braucht also nur die Kontrolle über deine Telefonnummer und du merkst nicht einmal, dass jemand in deinem Namen twittert.
Update vom 05.09.19: Aus gegebenem Anlass hat Twitter die Text-to-Tweet-Funktion vorübergehend deaktiviert.
(K)ein Fehler im System
Die Kontrolle über eine Telefonnummer erlangen, das klingt schwierig. Grundsätzlich ja, aber nicht unmöglich, wie der Fall Dorsey zeigt. Gemäss einem Tweet – Ironie, die Zweite – verschaffte sich das Chuckling Squad aufgrund eines (menschlichen) Fehlers beim Mobilfunkanbieter Zugriff auf die Nummer des Twitter-CEOs.
Obwohl beim Mobilfunkanbieter von einem Versehen gesprochen wurde, ist diese Taktik nicht neu. Auch als SIM-Hacking bekannt, erlangen Fremde die Kontrolle über deine Telefonnummer, indem sie deinen Provider davon überzeugen, deine Telefonnummer auf eine neue SIM-Karte zu überschreiben. Selbstverständlich glauben sie, dass dies in deinem Interesse geschieht. Daher die Bezeichnung «Versehen».
Zu einfach, um sicher zu sein?
Normalerweise wird diese Technik für Bitcoin- oder Instagram-Profil-Diebstähle verwendet. In den meisten Fällen genügt den Online-Verbrechern ein geleaktes Passwort für die Übernahme der Kontrolle. Mit einem PIN beim Mobilfunkanbieter schützt du dich zusätzlich gegen solche kriminelle Machenschaften. Auch kannst du deinen Account mittels einer virtuellen, künstlichen Identität sicherer gestalten – dies erfordert jedoch mehr als nur jene technischen Grundkenntnisse, die ein Durchschnitts-Handyuser hat.
Gerade wegen der verhältnismässigen Einfachheit dieses Angriffs – Hacker sind gewiss keine Durchschnittsnutzer – ist das SIM-Swapping bei Cyberkriminellen derart beliebt. Und dies, wie der Fall Dorsey zeigt, mit Erfolg.
Ach wie gut, dass niemand weiss...
Die Mädels und Jungs bei Chuckling Squad ziehen diese Nummer schon seit einigen Jahren ab. Bereits dutzende Insta-Influencer und Youtube-Berühmtheiten mussten daran glauben. Egal, ob verstörende Bilder oder rassistische Quotes – die Online-Gangster schrecken vor nichts zurück. Und sie verstecken sich dabei nicht einmal, im Gegenteil. Jedes Mal erwähnen sie in den gehackten Accounts ihren Namen, sei es via Hashtags oder in Live-Streams. Wie bei Dorsey versuchen sie zudem, Leute, die Gefallen an ihren Aktionen finden, dazu zu bewegen, ihren Discord-Servern beizutreten oder ihnen auf Twitter zu folgen.
Aqua, der Leader dieser zwielichtigen Online-Gang, und seine Gleichgesinnten scheinen in den USA besonderen Gefallen an AT&T gefunden zu haben – dies ist übrigens auch der Anbieter des Twitter-CEOs. Noch ist unklar, weshalb es den Hackern bei AT&T derart oft gelingt, Kontrolle über fremde Telefonnummern zu erlangen. Bisher liess sich der amerikanische Grosskonzern zu keinem Statement vor die Mikrofone bitten.
Altbekanntes neu verpackt
Die Vorgehensweise beim Dorsey-Hack respektive das SIM-Swapping gibt’s bereits viel länger als das Chuckling Squad selbst. Denn: Jedes System, das es dem User einfacher macht, einen Tweet zu erstellen und zu versenden, macht es automatisch auch jedem Online-Schurken einfacher, den Account des Users unbefugt zu übernehmen.
Bereits vor drei Jahren wurde Dorsey Opfer eines Online-Angriffs. Damals versendeten Hacker via autorisierter Third-Party-Plugins, die zwar nicht mehr benutzt wurden, aber immer noch die Zugriffserlaubnis auf den Account hatten, unanständige Tweets im Namen des Twitter-CEOs. Als die SIM-Swapping-Technik einen Boom erlebte und solche Plugins kaum mehr gebraucht wurden, stellten auch die Hacker um.
Twitter, quo vadis?
Okay, SIM-Swapping und dergleichen sind nichts Neues. Auch ist Jack Dorsey nicht das erste Mal in eine Hacker-Falle getappt. Und trotzdem steht die eingangs formulierte Frage noch immer im Raum: Wie konnte das passieren?
Klar, der Zwischenfall ist peinlich für Twitter. Aber die Peinlichkeit dieses Fauxpas ist kaum mit Essensresten in einer Zahnlücke oder Flecken auf einer Krawatte zu vergleichen. Es ist eine ernst zu nehmende digitale – und bestens bekannte – Sicherheitslücke. Nicht nur Experten, sondern auch Laien kennen die Möglichkeiten und Gefahren von SIM-Swapping seit beinahe einem Jahrzehnt.
Dieser Vorfall zeugt von einer gehörigen Portion Ignoranz bei Twitter und deren Vorgesetzten. Der Social-Media-Riese lässt sich auch mangelnde Einsicht, wenn’s um die Sicherheit und Privatsphäre der User-Accounts geht, zu Schulden kommen. Ist Twitter etwas alt geworden?
Bleibt zu hoffen, dass Twitter dieser Vorfall endgültig eine Lehre sein wird und sich die Firma mit dem Vogel von der SMS-Verifikation distanziert.
Titelbild: Dunkle Wolkem am Twitter-Horizont – wie steht's um die Sicherheit der Accounts? Quelle: THE BUSINESS TIMES
21 Personen gefällt dieser Artikel
Raphael Knecht
Senior Editor
raphael.knecht@digitecgalaxus.chWenn ich nicht gerade haufenweise Süsses futtere, triffst du mich in irgendeiner Turnhalle an: Ich spiele und coache leidenschaftlich gerne Unihockey. An Regentagen schraube ich an meinen selbst zusammengestellten PCs, Robotern oder sonstigem Elektro-Spielzeug, wobei die Musik mein stetiger Begleiter ist. Ohne hüglige Cyclocross-Touren und intensive Langlauf-Sessions könnte ich nur schwer leben.
