Twitter: Mail-Adressen von über 200 Mio. Nutzern geleakt
von caschy | 19 Kommentare
Anfang 2023 tauchten in einem beliebten Hackerforum über 200 Millionen Datensätze auf, die von Twitter abgegriffen wurden. Die Daten wurden irgendwann im Jahr 2021 durch den Missbrauch einer API gewonnen, die die Auflösung von E-Mail-Adressen in Twitter-Profile ermöglichte. Die anschließenden Ergebnisse wurden dann zu einem Datenkorpus zusammengestellt, der neben E-Mail-Adressen auch öffentliche Twitter-Profilinformationen wie Namen, Nutzernamen und Followerzahlen enthielt. Nutzer, die den Service haveibeenpwned nutzen, sollten schon über den Umstand informiert worden sein. Also Augen auf bei vermeintlichen Twitter-E-Mails, die euch auf Seiten locken wollen, auf denen dann Daten von euch eingegeben werden sollen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ey man darf sich doch nirgends mehr anmelden mit der original email…
Muss man jetzt wirklich ständig mit email Weiterleitungen arbeiten?!?
Ich richte mir bei meiner Microsoft-Mail immer Aliase ein, die gehen dann auch alle ins gleiche Postfach oder gleiche App auf dem Handy, aber ja, es ist absolut nervig mit der „Cybersicherheit“ bei den Diensten die man so nutzt…
Hat Microsoft mittlerweile eine catch-all Mailbox?
Scheinbar, denn meine Adresse von zum Beispiel outlook (Microsoft Live und wie sie am Ende heißen) wird seit Jahren von Spam geflutet, und auch wirklich nur auf diese. 1x unvorsichtig gewesen und zack wirds scheinbar weiter und weiter verkauft.
Ja das ist sinnvoll, ich nutze für Foren etc. ebenfalls eine andere Mail Adresse.
Am besten gleich eine eigene Domain mit aktivierter Catchall-Funktion einrichten und für jeden Dienst eine eigene Mail nutzen. So erkennt man nicht nur den Übeltäter, der mit den Daten fahrlässig umgegangen ist, sondern kann auch komplett die jeweilige Mail komplett im Filter blocken und Ruhe.
Mailbox.org kann ich dafür empfehlen.
Das mache ich seit Jahren so.
Puh, also ich hab meinen eigenen Mailserver und Spam ist nach etwas Training mittlerweile echt fast nicht mehr existent. Aber mit Catchall kommt so viel Unsinn rein, liegt vielleicht daran dass da auch eine Webseite auf der Domain läuft…
Einen guten Filter finde ich da besser. Bezüglich Sicherheit wäre aber eine Custom Email für jeden Account sinnvoller, wobei sowieso einmalig genutzte starke Passwörter verwendet werden.
AnonAddy.com oder SimpleLogin.io helfen da weiter.
Ich hab meinen eigenen Mailserver so eingerichtet, dass er extended-Mailadresses unterstützt. Also wie bei GMail, kann ich nach dem Benutzernamen ein + eingeben und dann jeglichen Text (username+servicename@domain.tld), so hat es den Vorteil, dass ein gehackter Service nicht die Daten für einen anderen rausgibt (Die Servicenamen schreib ich natürlich nicht so aus, sondern in entsprechenden Variationen 😉 ) und man nach Datenleak den Spam direkt blocken kann.
Wer GMail nutzen sollte, dem kann ich ein solches System nur wärmstens empfehlen. Ansonsten wer ein eigenes Mailsystem aufsetzt, kann das in Postfix und Co entsprechend konfigurieren.
„Die Servicenamen schreib ich natürlich nicht so aus, sondern in entsprechenden Variationen“
Das nützt Ihnen genau gar nichts, wenn der Benutzernamen ein „catch-all“ für alle »Benutzername+[whatever]« ist.
Offen gestanden erstaunt es mich sehr, dass der Angriff, »Adressen mit „+“ durch einen random string erweitern, um eine neue einmalige, aber gültige Adresse zu erzeugen« noch nicht verbreitet ist.
Es kommt drauf an, wogegen du dich schützen willst.
Mailadressen werden ja häufig auch als Nutzername zum Einloggen verwendet. Wenn man dort also einen zufälligen String wählt, fällt das Passwörter durchprobieren erheblich schwieriger aus.
Möchte man sich gegen Spam schützen, so stimme ich dir nur in Teilen zu.
Individuelle Strings vor dem @ sind alles andere als gängig. Vielleicht bei Interessierte, aber sicher nicht in der breiten Masse.
Spamer schießen in der Regel mit der Schrotflinte auf alles, was nicht bei 3 auf dem Baum ist. Irgendwas wird man schon treffen.
Und solange das funktioniert, ist der Aufwand größer, die Mailadressen, die nach einer Catchall aussehen, herauszufiltern und anders zu behandeln.
Schließlich besteht ja auch die Gefahr, dass es nur wie eine Catchall aussieht, aber keine ist.
Das scheint mir bisher aber noch nicht der Fall zu sein. Daher hilft es aktuell – auch wenn du behauptest: „Das nützt Ihnen genau gar nichts…“
Das nützt mir sogar sehr, in doppelter hinsicht:
Es schützt nämlich gegen Credential Stuffing, was die häufigste Angriffsmethode aktuell ist. Dabei werden gekaufte/geleakte Zugangsdaten bei anderen Services ausprobiert. Wird hier nicht funktionieren. Auch ein erraten der möglichen Adresse für einen fremden Service würde entsprechend wieder unzählige Kombinationen erzeugen. Somit müsste E-Mail und Passwort bruteforced werden, was den Aufwand eh zu komplex macht.
Zum anderen schützt es ebenso gut vor Spam: Da ich jede dieser „+“-Adressen eben auch entsprechend in Ordner filtere. Da ich das für jede einzelne meiner E-Mail-Adressen nutze und nutzen kann und auch im Namen dieser Adressen versenden und somit kommunizieren kann, kommt alles was nicht gefiltert wird direkt in Spamverdacht (also quasi Deny-All-Strategie mit Whitelist). Sehe ich, dass auf einer Adresse generell nur noch Spam kommt, wird diese auf die Blacklist gesetzt und der Mailserver empfängt Mails für diese Ziel-Adresse einfach gar nicht mehr.
Erleidet ein Service ein Breach ändere ich meine E-Mail-Adresse/Passwort wie man das eben so macht und zusätzlich ändere ich den Filter. Werden die Daten jetzt an Spammer verkauft, landet das alles sofort im Spamordner und wird später ggf. einfach weg denied. 😉
Das scheint aber ein recht alter Stand gewesen zu sein, der da erbeutet wurde: ich habe irgendwann vor Corona meinen Account gelöscht und dennoch ist meine Mail-Adresse betroffen.
Oder Twitter speichert auch die Adressen gelöschter Accounts…
Natürlich speichern die Dienste alles. YouTube speichert auch jahrelang gelöschte Videos.
Bei Twitter ist es aber witzig, denn die werden jetzt wegen so Dingen verklagt weil Rechtsabteilung nicht existent oder überlastet. Die löschen ja nicht mal mehr urheberrechtlich geschütztes Material. Warum also Email Adressen, die ja sogar was wert sind.
Ja, das war ein riesen Thema, da die Accounts nur stillgelegt werden, nicht gelöscht.
Wieso muss man Musk hier irgendwas zu Gute halten? Er hatte damit nichts zu tun, also weder positiv noch negativ, ergo muss man Ihn in diesem Zusammenhang nicht mal nennen.
Das Problem war halt, dass Twitter den Job des CISO, der genau sowas verhindern sollte, damals offen gelassen hatte… Ersatz hatte man ja erst eingestellt NACH dem die Daten entwendet wurden und seither hatten auch schon wieder 2 oder 3 Leute diese Position inne.
Sieh‘ an: kaum fällt Elon Musk mit Twitter in Ungnade (die Tagesschau ist ganz aktuell mit von der Partie und berichtet von Musk als „Verschwörungsmythenförderer“) tauchen die vergleichsweise alten Leaks auf. Wie auf Bestellung…
Du bist da was ganz großem auf der Spur!