Gehackte Twitter-Accounts: 'Ungeschicktes' Passwort ermöglichte Kontrolle über fremde Konten

Januar 06, 2009 Sophos Press Release

Ein zu einfaches und damit unsicheres Passwort ermöglichte es einem 18-jährigen Hacker, die Twitter-Konten von 33 Prominenten zu knacken und unter deren Namen Falschmeldungen zu veröffentlichen. Mithilfe eines automatisierten, Wörterbuch-basierten Passwort-Generators versuchte der Hacker, sich Zugang zum Benutzerkonto eines Mitarbeiters des Online-Dienstes zu verschaffen: Beim Begriff 'happiness' hatte er Glück. Mit dem Passwort erlangte er die Administrationsrechte für die fremden Twitter-Accounts. Die IT-Sicherheits-Experten von Sophos sehen in der Wahl des Passworts eine grobe Nachlässigkeit seitens des Dienstanbieters. Gleichzeitig raten sie Twitter-Nutzern zu erhöhter Vorsicht: Der Micro-Blogging-Dienst gewinnt auch in Deutschland immer mehr an Bedeutung und wird unter anderen von Prominenten und Politikern genutzt. Dementsprechend steigt die Gefahr, dass die Plattform von Cyberkriminellen für Spam- und Phishing-Attacken missbraucht wird.

Christoph Hardy, Security Consultant bei Sophos: 'Der Vorfall bei Twitter zeigt einmal mehr, wie einfach sich Passwörter knacken lassen. Gerade für die Sicherung von Web-Accounts sollten daher stets Passwörter benutzt werden, die aus möglichst komplizierten Zeichenkombinationen bestehen und für Fremde nicht nachvollziehbar sind. Diese Richtlinie muss in Unternehmen für alle Mitarbeiter gelten und entsprechend durchgesetzt werden. Dass dies bei Twitter nicht der Fall war, macht deutlich, wie wenig sich Mitarbeiter der potenziellen Risiken bewusst sind.'

Risiko gefälschter Twitter-Meldungen auch in Deutschland

Auch im deutschsprachigen Raum wird Twitter zunehmend von Medien, Prominenten und Politikern genutzt, um per Online-Kurznachricht Leser, Fans und Wähler über Neuigkeiten zu informieren. Zu den bekannten deutschen Twitter-Nutzern gehören beispielsweise der ZDF-Moderator Claus Kleber, der SPD-Parteivorsitzende Franz Müntefering oder die FDP. Viele Tageszeitungen und Magazine nutzen bereits Twitter, um ihre Schlagzeilen aktuell zu verbreiten. So sind unter anderem regelmäßige News der ARD-Tagesschau, von Spiegel, Focus, Computerwoche oder heiseonline vertreten.

Laut Sophos könnten Cyberkriminelle die Popularität des Online-Dienstes künftig verstärkt für Spam-, Phishing- oder Malware-Attacken missbrauchen. Christoph Hardy: 'Wie bei jeglicher Art der Online-Kommunikation ist auch bei Micro-Blogging-Diensten wie Twitter gesundes Misstrauen geboten: Unter anderem können Profile gehackt, Meldungen gefälscht oder mit Links auf infizierte Websites versehen werden. Ein ausreichender Schutz des PCs und Netzwerks sowie ein wachsamer Umgang mit dem Medium sind daher ein Muss. Wer Twitter selbst nutzt, um Nachrichten zu veröffentlichen, sollte seinen Account zudem mit einem geeigneten Passwort schützen.'

Details zu den gehackten Twitter-Konten finden sich im Blog von Graham Cluley (englisch), Senior Security Consultant bei Sophos.