E-Mail-Leck mit 200 Millionen betroffenen Nutzern bei Twitter: Was Sie wissen müssen und wie Sie Ihre Daten schützen können
Twitter ist kein Unbekannter für Cybersicherheitsvorfälle, wie der berüchtigte Hack der Plattform im Jahr 2020 zeigt, als ein Hacker sich als die IT-Abteilung des Unternehmens ausgab und seine Mitarbeiter hinters Licht führte.
Kürzlich wurde der Social-Media-Gigant erneut angegriffen. Benutzer erfahren jetzt erst mehr über die ganze Reichweite des Cyberangriffs, Berichte weisen jedoch darauf hin, dass der Vorfall mit einer Sicherheitsschwachstelle aus dem Jahr 2021 verbunden ist.
Zeitlicher Ablauf
Mit einem Update am Twitter-Code im Juni 2021 wurde eine Schwachstelle bzw. ein Fehler in die API (Anwendungsprogrammierschnittstelle) von Twitter eingeführt. So konnten Hacker ein Scraping der öffentlichen Datenbank der Plattform durchführen und Benutzernamen mit zugehörigen privaten E-Mail-Adressen und Telefonnummern verknüpfen.
In einer Erklärung von Twitter im August 2022 teilte die Plattform Details zu der Schwachstelle. Benutzer wurden informiert, dass zwischen Juni 2021 und Januar 2022 beliebige Personen eine E-Mail-Adresse oder Telefonnummer an die Systeme von Twitter übermitteln konnten, um den Benutzernamen offenzulegen, der mit der entsprechenden Telefonnummer oder E-Mail-Adresse verbunden war. Zu diesem Zeitpunkt behauptete die Plattform, dass es keine Hinweise dafür gäbe, dass Hacker die Daten böswillig genutzt hatten.
Im Juli 2022 erfuhr Twitter jedoch, dass Bedrohungsakteure die im Rahmen der Sicherheitsverletzung von 2021 gesammelten Daten zum Verkauf anboten.
Obwohl der Fehler in der Twitter-API im Januar 2022 behoben wurde, werden E-Mail-Adressen und Telefonnummern betroffener Benutzer weiter in Foren verbreitet. Eine Datenbank mit 5,4 Millionen E-Mail-Adressen und Telefonnummern war im Sommer 2022 in Umlauf und stand vor der kostenlosen Offenlegung für 30.000 US-Dollar zum Verkauf. Laut WIRED wird der Vorfall von der irischen Datenschutzkommission und der U.S. Federal Trade Commission untersucht. Diese versucht zu ermitteln, ob Twitter gegen eine Vereinbarung zur Verbesserung des Datenschutzs verstoßen hat. Ein Twitter-Nutzer verklagt die Plattform nun wegen der Sicherheitsverletzung.
Am 4. Januar 2023 legte ein Forum für Cyberkriminelle (Breached) mehr als 200 Millionen E-Mail-Adressen offen, die per API-Scraping gesammelt worden waren – zu einem Preis von weniger als 2 US-Dollar.
Ihre Daten sind mehr wert als das. Nutzen Sie Dashlane, um Ihre E-Mail im Dark-Web zu überwachen.
Die Cyberkriminellen, die noch nicht identifiziert worden sind, haben Hunderte von Millionen E-Mail-Adressen offengelegt – die vormalige Fangprämie aus 5,4 Millionen Telefonnummern und E-Mail-Adressen kombiniert. Der neueste Datensatz enthält jedoch ausschließlich E-Mail-Adressen. Die geschätzte Anzahl der betroffenen E-Mail-Adressen war ursprünglich größer, hat sich nach der Entfernung von Duplikaten aber auf 200 Millionen reduziert. Der Sicherheits-Watchdog Bleeping Computer behauptet jedoch, auch im neuesten Datensatz noch Duplikate gefunden zu haben.
Wie Sie ermitteln können, ob Ihre E-Mail-Adresse offengelegt wurde
Nutzer, die eine separate E-Mail-Adresse für Twitter haben, sind von der Datenschutzverletzung wahrscheinlich nicht betroffen. Hacker haben Daten aus früheren Sicherheitsverletzungen genutzt und in die nicht sichere API von Twitter eingegeben, um zugehörige Benutzernamen offenzulegen. Das bedeutet, dass eine E-Mail-Adresse, die bereits früher offengelegt wurde (ob durch den Twitter-Hack oder andere Sicherheitsverletzungen), im Datensatz enthalten sein könnte.
Benutzer können ihre geschäftlichen E-Mail-Adressen im Business Breach Report eingeben, um herauszufinden, ob sie kompromittiert wurden und – wenn ja – bei welcher Sicherheitsverletzung.
Welche persönlichen Daten sind betroffen?
Zwar wurden im Rahmen der neuesten Sicherheitsverletzung bei Twitter nur E-Mail-Adressen offengelegt, doch konnten Cyberkriminelle E-Mail-Adressen mit öffentlichen Daten verknüpfen, einschließlich Benutzernamen, Namen und Social-Media-Profilen.
Diese Information ist besonders wichtig für Benutzer, die bei Twitter anonym bleiben möchten. So sagen Experten für Cybersicherheit potenzielle Doxxing- und gezielte Phishing-Angriffe voraus.
Maßnahmen, die Sie ergreifen können, wenn Ihre E-Mail-Adresse offengelegt wurde:
Von der Datenschutzverletzung betroffene Benutzer sollten folgende Zusatzmaßnahmen ergreifen, um ihre privaten Daten zu schützen:
- Sie können zu einem Ziel für Phishing-Betrug werden. Frischen Sie Ihre Kenntnisse auf, um mit diesen Tipps Phishing-Betrug zu erkennen.
- Ersetzen Sie betroffene Passwörter von Konten durch neue, zufällige Passwörter. Wir empfehlen die Verwendung eines sicheren Passwortgenerators.
- Speichern Sie neue Passwörter in einem verschlüsselten Passwort-Manager (wie Dashlane).
- Aktivieren Sie 2-Faktor-Authentifizierung in Ihrem Twitter-Account – bei der Datenschutzverletzung wurden zwar keine Passwörter offengelegt, doch kann Multi-Faktor-Authentifizierung dazu beitragen, unbefugte Logins zu verhindern.
- Nutzen Sie Dark-Web-Überwachung von Dashlane, um das Dark-Web zu scannen und herauszufinden, ob andere Konten mit der gleichen E-Mail-Adresse betroffen waren. Dashlane-Kunden können Dark-Web-Überwachung für bis zu fünf E-Mail-Adressen einrichten und sich umgehend benachrichtigen lassen, wenn ihre Daten bei einer Sicherheitsverletzung offengelegt wurden.
Softwarebezogene Sicherheitsverletzungen können passieren, selbst erfahrenen Sicherheits- und Software-Teams. Wir erkennen die harte Arbeit der IT-Abteilung von Twitter, die sie zur Lösung des Vorfalls leistet, an.
Egal ob Twitter-Nutzer oder nicht: Sie sollten Bescheid wissen, wenn Ihre E-Mail-Adresse gefährdet ist.
Schützen Sie sich jetzt mit einer kostenlosen Testversion von Dashlane.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten