Das Konto-Highjacking bei Twitter hat die Frage aufgeworfen, wie das bei der beliebten Social-Media-Plattform geschehen konnte. Die ersten Informationen scheinen darauf hinzudeuten, dass der Sicherheitsvorfall auf einem Angreifer basierte, der sich mittels Social Engineering über ein Mitarbeiterkonto Zugang zu internen Systemen verschafft hat.
Er benutzte dann jenes Konto, um auf ein Verwaltungswerkzeug innerhalb des Twitter-Systems zuzugreifen, das es ihm ermöglichte, die Kontrolle über die Benutzerkonten zu übernehmen. Mit diesem Tool konnte er den Zugriff auf die gekaperten Konten steuern oder sperren.
Während sich die anfängliche Aktivität auf den Verkauf von Vanity-Accounts beschränkte, entwickelte sie sich schnell zu einer Betrugsmasche, um Bitcoin von Followern hochrangiger Twitter-Konten berühmter Persönlichkeiten zu erhalten. Sie wurden aufgefordert, Bitcoin im Wert von 1.000 US-Dollar zu bezahlen, um dann im Gegenzug die doppelte Summe in Bitcoin zurückzuerhalten.
Wie immer, wenn es zu gut scheint, um wahr zu sein, ist es das auch in diesem Fall eine Lüge gewesen. Innerhalb weniger Stunden wurden über 100.000 US-Dollar von Followern generiert, die dem Betrug zum Opfer fielen. Es ist klar, was passiert ist, aber unklar, wie es geschehen konnte. Was die Öffentlichkeit weiß, ist, dass noch viel zu viele Organisationen kritische Benutzerkonten betreiben und Zugang zu diesen haben, ohne dass eine Multifaktor-Authentifizierung zur doppelten Absicherung genutzt wird.
Gleichzeitig nehmen viele Organisationen grundlegende Cyber-Hygiene nicht ernst und vernachlässigen das Patchen von Systemen, von denen bekannt ist, dass sie anfällig sind. Wenn die ersten Berichte der Wahrheit entsprechen, dann können Mitarbeiter von Twitter Konten einfach übernehmen und im Namen der eigentlichen Kontoinhaber Tweets ohne deren Zustimmung versenden. Dies könnte eine der besorgniserregendsten Enthüllungen sein, die ans Licht gekommen ist.
Warum sollte Twitter den Mitarbeitern weiterhin die Möglichkeit bieten, Benutzerkonten zu kontrollieren? Wurde diese Möglichkeit schon einmal intern genutzt, um Tweets loszuschicken, ohne das Wissen der Kontoinhaber? Wenn die wahre Absicht des Angreifers tatsächlich auf die Promi-Accounts abzielte, dann wäre dies nicht öffentlich geschehen und wäre in einer Art und Weise geschehen, die noch mehr Schaden anrichten würde. Denn bei der aktuellen Geschichte ging es um einen schnellen digitalen „Smash and Grab“-Versuch, der darauf abzielte, schnell Geld zu verdienen.
Es hätte noch viel schlimmer kommen können. Man stelle sich vor, dass mitten in der bevorstehenden US-Präsidentschaftswahl ein Twitter-Konto eines der Kandidaten kompromittiert werden würde. Was könnte der potenzielle Schaden eines solchen Vorfalls sein? Social-Media-Plattformen haben eine erhöhte Verantwortung, die Sicherheit des Systems zu gewährleisten, um die Integrität des Diskurses zu schützen.