Nach Bug im Login-System

Cyberkriminelle verkaufen Kontodaten anonymer Twitter-User

Uhr
von Adrian Oberer und lha

Cyberkriminelle bieten Twitter-Kontodaten online zum Verkauf an. Ein Bug ermöglicht es öffentliche E-Mail-Adressen und Telefonnummern einem Twitter-Profil zuzuordnen. Der Kurznachrichtendienst bestätigt die Legitimität der Daten.

(Source: Akshar Dave / unsplash.com)
(Source: Akshar Dave / unsplash.com)

Cyberkriminelle bieten Kontodaten von Twitter-Nutzenden im Internet zum Verkauf an. Ein Bug im Login-System von Twitter hat es Cyberkriminellen ermöglicht, öffentlich zugängliche E-Mail-Adressen und Telefonnummern einem Twitter-Profil zuzuordnen. Der Kurznachrichtendienst bestätigte in einer Mitteilung die Legitimität der angebotenen Daten. Das Unternehmen werde betroffene Kontoinhabende nach Möglichkeit direkt benachrichtigen, sei aber nicht in der Lage sämtliche betroffene Konten zu ermitteln.

Im Juni 2021 habe eine Aktualisierung des Twitter-Codes zu einem Bug geführt: Wenn jemand eine E-Mail-Adresse oder eine Telefonnummer an das Twitter-System übermittelte, teilte es der Person mit, ob - und wenn ja mit welchem - Twitter-Profil die übermittelten E-Mail-Adressen oder Telefonnummern verbunden waren.

Der Kurznachrichtendienst hat gemäss eigenen Angaben im Januar 2022 durch sein Bug-Bounty-Programm vom Fehler erfahren und diesen behoben. Zu diesem Zeitpunkt habe es aber keine Anhaltspunkte dafür gegeben, dass jemand die Sicherheitslücke ausgenutzt habe. Das Unternehmen sei erst durch Presseberichte im Juli 2022 auf das resultierende Datenleck aufmerksam geworden.

Durch die im Internet angebotenen Daten können möglicherweise die Besitzerinnen und Besitzer von einem unter einem Pseudonym geführten Twitter-Profil identifiziert werden. Zur Wahrung der Anonymität empfiehlt der Kurznachrichtendienst keine öffentlich bekannten Telefonnummern oder E-Mail-Adressen zum eigenen Twitter-Profil hinzuzufügen.

Eine etwas andere Gefahr im Metaverse förderte ein Forschungsexperiment mit 16 Probanden zu Tage. Die Teilnehmenden arbeiteten eine Woche lang in der AR-Welt und dokumentierten ihre Befindlichkeit. Resultat: Wer im Metaversum arbeiten will, braucht einen starken Magen.

Ausserdem: Betrüger tricksen mit 404-Meldung Phishing-Abwehr aus. Wie das geht, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_263996