Twitter: Scam-Attacke ist vermutlich durch Social Engineering möglich gewesen

Wir berichteten bereits kurz nach Aufkommen der Scam-Welle auf Twitter darüber, nun gibt es ein paar wenige neue Erkenntnisse. Was war geschehen? Auf Twitter fragten große und verifizierte Accounts (Apple, Bill Gates, Barack Obama und weitere) nach der virtuellen Währung Bitcoin. Versprachen dabei, etwas „zurückgeben zu wollen“, dem Sender das Doppelte zu vergüten. Mutet sicherlich vielen komisch an, aber es gab zahlreiche Nutzer, die Bitcoin schickten – und nichts erhielten. Klassischer Betrug, doch wie war es dazu gekommen? Wurden diese Accounts etwa gehackt?

Nein, das war eben nicht der Fall. In der Nacht enthüllte das Unternehmen, dass seine eigenen internen Mitarbeiter-Tools kompromittiert und bei dem Hack verwendet wurden. Das Unternehmen ergriff als Erstes die Maßnahme, dass für eine gewisse Zeit verifizierte Nutzer überhaupt nicht twittern konnten, um der Sache auf den Grund zu gehen. Vermutlich haben es die Angreifer in einer koordinierten Aktion geschafft, sich über Mitarbeiter von Twitter Zugriff auf Schalt- und Waltmöglichkeiten zu sichern.

Später schrieb Twitter-CEO Jack Dorsey noch: „Ein harter Tag für uns bei Twitter. Wir alle fühlen uns schrecklich, dass dies passiert ist. Wir stellen Diagnosen und werden alles, was wir können, mitteilen, wenn wir ein vollständigeres Verständnis davon haben, was genau passiert ist.“ Feststeht, dass der Scammer einiges an Eingängen zu verzeichnen hat auf seinem Konto.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. wie häufig immer und überall – die größte Bedrohung sitzt immer im Unternehmen 🙁

    • ja, galt immer und wird immer so sein. je größer das unternehmen umso mehr toxische menschen werden da unterwegs sein. ein horror für jeden unternehmer.

  2. Erstaunlich, dass diese Tools aus dem Internet heraus funktionieren und anscheinend ohne Authentifizierung der Mitarbeiter arbeiten. So hätte man das schwarze Schaf ermitteln können.

  3. therealThomas says:

    Wieso greift hier kein 2FA bei den Mitarbeiter-Accounts?

    • Social Engineering kann eigentlich alles sein. Nehmen wir an du erpresst einen Mitarbeiter mit vollständigem Datenbankzugriff … dann gibt der dir nach seinen Credentials natürlich auch noch den 2FA Code durch.

      Deshalb darf man die Schuld auch nicht bei den Mitarbeitern suchen. (‚Schwarzes Schaaf‘, etc.) Technisch mitigiert man so etwas indem kein einzelner Nutzer derart viele Zugriffsrechte auf sich vereint. Gesellschaftlich mitigiert man so etwas in dem man nicht alles glaubt, was ein prominenter Twitter-Account schreibt. …aber bis wir so weit sind dauert es vielleicht noch ein paar Jahrzehnte.

      • therealThomas says:

        Social Engineering != Blackmailing

        Beim Social Engineering lasse ich das Opfer glauben, alles was passiert wäre legitim. Wenn ich ihn erpresse, ist das kein Social Engineering…

        Beim Rest stimme ich dir natürlich zu.

        • > Beim Social Engineering lasse ich das Opfer glauben, alles was passiert wäre legitim.

          Also die Wikipedia fasst das deutlich weiter:

          de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)

          Aber von Erpressung ist auch das was Wiki schreibt weit entfernt, insofern point taken.

    • weil im internen Firmennetz herraus?

      • therealThomas says:

        Und wie kommt der Angreifer da rein?
        Es hieß ja eben, dass es keine Mitarbeiter waren, sondern dass Tools von Mitarbeitern kompromittiert wurden.

  4. Wie kann man so dämlich sein und in so einem Fall Bitcoins verschicken? Blinde Gier…

  5. Wolfgang D. says:

    Dieser ganze Authentifizierungsunfug in einer Million Versionen gehört endlich auf den Müllhaufen der Internetgeschichte. Wie man sieht nützt das Höherbauen von Schutzmauern wenig, wenn der Angreifer einen Tunnel gräbt.

    Auf jeden Fall bin ich schon mal froh, dass es kein Datenleck war. Danke für die Beruhigungspille.

  6. Es gibt nicht einzige Möglichkeit das hacken zu verhindern. So ist das Internet und wenn der Mensch versucht sein eigenes Netzwerk zu schützen. Wer die Tür nicht abschließt der bekommt Besuch. Immer wieder erstaunliche wieviel Wert dieser Internet Mist ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.