55.000 Twitter-Accounts mit Benutzernamen und Passwörtern veröffentlicht
von caschy | 26 Kommentare
Kein Monat ohne irgendeine Datenpanne. Twitter hat es ja schon ein paar Mal in die Öffentlichkeit geschafft, da Benutzerkonten gekapert wurde. Sicherlich nicht Twitters Schuld, denn ich kann ja Kombinationen von Namen und Passwörtern ausprobieren. Das heute Nacht passierte Ding ist allerdings nicht vom bloßem Raten gekommen: jemand hat es geschafft, 55.000 Accounts zu veröffentlichen. Benutzername und Kennwort eben. Auf ganzen fünf Seiten (1, 2, 3, 4 & 5) hat derjenige die Zugangsdaten hinterlassen – ich selber bin nicht drauf und nach einer ersten Durchsicht schätze ich, dass es sich bei den Daten eher um Spam- und gelöschte Accounts handelt – lässt zumindest die Namen- und Passwortkombination erahnen.
Selbst wenn es sich um gelöschte oder Spam-Accounts handeln sollte: Twitter muss untersuchen, ob es irgendein Loch gibt, durch welches diese Daten schlüpfen konnte. Des Weiteren weiss man ja nicht, ob die besagten 55.000 Accounts nicht nur die Spitze des Eisbergs waren. Twitter gab bereits an, dass 20.000 der Accounts Spam oder Doubletten waren. Andere Accounts haben eine Benachrichtigung über einen Passwort-Reset bekommen. (via Airdemon, via NYT)
Wird geladen ...
Zumal man sich mit dem Twitter-Acount an allen möglichen Ecken des Web’s einloggen kann. Nicht schön. Mich interessiert aber auch erst mal wo das Loch ist/war.
Da ist doch die Frage, ob es sich hier um Daten aus einem Phishingformular handelt oder ob Twitter in der Tat die Daten Plain abspeichert. Zweiteres wäre natürlich ein absolutes Unding.
Ich tippe auf Phishing.
Begründung: Sonst wären alle daten geleakt und nicht nur einige. Was ich übrigens sehr faszinierend finde, dass viele der PWs gleich sind, das lässt vermuten, dass viele Doppelaccounts haben, bzw sich einen nuenen angelegt haben, weil sie sich auf dem Phishing Forumlar nicht einloggen konnten.
Bin gespannt ob jemand schon fleißig mit den Daten sich einloggt und Account löscht. 😉
Das sieht eher nach generierten, als geklauten Accounts aus
Ich meine auch dass die Dinger generiert sind. Es sieht alles ziemlich unnatürlich aus.
Ist aber auch gar nicht so eine schlechte Idee, irgendwelche Daten generieren, diese veröffentlichen und behaupten „GroßesUnternehmenXY hat ein Datenleck!“
Ben, den Eindruck habe ich auch – schon unwahrscheinlich, dass so viele Accounts mit 8-Zeichen-Zahlen-Buchstaben-Kombinationen dabei sind, aber keine mit Klartextpasswort – und wenn andere Passwörter, dann sind sie mit Mail-Adressen angelegt. Die Accounts hat sich doch wer anlegen lassen.
Interessant ist es das hier:
http://pastebin.com/XDZguFqj
Ach Gott sei Dank ist mein Fakeaccount nicht dabei. Da kann ich ja munter weiter die Timeline anderer zuhauen. (:
Oder sind das die original Passwörter, die Twitter einem zunächst mal zuteilt, und die man dann ändern kann oder muss? Jedenfalls wählen ’normale‘ User nicht solche kryptischen Passwörter, und 55.000 normale User schon gar nicht.
Persönlich gehe ich sehr stark von irgendeinem nicht mehr genutzten Service aus. Damals, wo es noch kein Oauth gab, musste ja immer Acc + PW hinterlegt werden.
Wenn man außerdem genauer hinsieht, wiederholen sich die Listen teilweise.
Was man auch noch sagen kann: fast nur amerikanische Nutzer, kenne jedenfalls wesentlich weniger Leute in Deutschland, die yahoo / hotmail an Stelle von gmx oder web nutzen.
Nachdem ich die doppelten rausgeworfen habe, sind es nur rund 25k Accounts.
Gut, dass ich nicht bei Twitter bin. Mit meiner statischen Homepage hätte ich da auch nicht viel zum twittern.
Danke.
Auf den hier gelisteten Seiten bin ich nicht dabei …
So wie ich sehe, sind die Passwörter auch nicht gerade aus der 0815 Reihe. Aber ich bin gespannt, was das für Accounts sind und wo die Lücke ist.
Würde auch eher auf generierte Accounts tippen..
Gerade die Passwörter finde ich sehr suspekt..
Sieht schwer nach automatisch generierten Daten aus. Da ist kein einziges Passwort dabei, dass echte Wörter enthält. Und die Passwörter sind alle 8 Zeichen lang. Sieht nicht nach „natürlichem“ User-Verhalten aus. 🙂
ein normaler desktop PC braucht max. 10 tage um eines dieser passwörter, bzw, accounts zu erraten, von daher können die daten schon echt sein.
klarer fall von schlechtem passwort imho.
Nur mal so: Das sind keine 55.000 Accounts sondern knapp 37.000 da etliche doppelt sind.
http://blog.eset.se/55-000-hacked-twitter-accounts-leaked-or/
Ich denke, da ist „irgendwo“ ein Loch, das nicht nur aus a) unsicheren oder mehrfach verwendeten Passwörten ist und b) nicht von „verheirateten“ Apps kommt. Ich hab zu zuletzt zuviel Pr0nspam auf bekannten Accounts geshen.