Wie Twitter-Chef Jack Dorsey gehackt wurde

Am 30. August teilte Twitter mit, dass der Account von Twitter-Chef Jack Dorsey gekapert und diverse aggressive Tweets verbreitet worden seien. Dorseys Account @jack verfügt über mehr als vier Millionen Follower.
 
Über @jack wurden Schimpfwörter sowie rassistische und antisemitische Tweets verbreitet. Darunter einer, in dem es hiess: "Nazi Deutschland hat nichts falsch gemacht". In einem weiteren war von einer Bombe im Twitter-Hauptquartier in San Francisco die Rede. Eine gute Stunde nach dem Zwischenfall erklärte Twitter, Dorseys Account sei nun wieder gesichert. Darüber hinaus gebe es "keinen Hinweis, dass die Systeme von Twitter kompromittiert wurden".
 
Die Kommunikationsabteilung von Twitter schrieb: "Die mit dem Konto verknüpfte Telefonnummer wurde wegen eines Security-Fehlers bei einem Mobilfunkanbieter kompromittiert. Dies ermöglichte es einer unbefugten Person, Tweets per SMS von der Telefonnummer aus zu verfassen und zu senden." Laut ‘The Verge’ steht hinter dem Hack eine Gruppe namens "Chuckle Squad".
 
‘The Verge’ führt aus, wie der Angriff funktionierte: Die Hacker seien über den Text-to-Tweet-Service von Twitter eingedrungen, der vom Service Cloudhopper betrieben wird, den Twitter 2010 übernommen hatte. Mit Cloudhopper können Twitter-Nutzer Tweets posten, indem sie Nachrichten an eine Kurzwahlnummer senden, normalerweise 40404. Das System erfordert dann nur die Verknüpfung der Telefonnummer mit einem Twitter-Konto, was die meisten Benutzer bereits aus Sicherheitsgründen tun. Die Eingabe eines Passworts ist nicht notwendig.
 
Im Allgemeinen wird diese Art von Angriff als SIM-Hacking bezeichnet. Der Carrier AT&T sei davon überzeugt worden, die Nummer von Jack Dorsey einem neuen Telefon zuzuordnen, das die Hacker kontrollierten. Dies sei keine neue Technik und Chuckle Squad wende diesen Trick seit Jahren an: "Oft funktioniert es so einfach, wie ein durchgesickertes Passwort einzugeben."
 
Der Vorfall sei deshalb für Twitter peinlich, schreibt ‘The Verge’, weil "mit Auswirkungen weit über einige Minuten des Chaos hinaus" zu rechnen sei. Nun müsse das Unternehmen die Lehren aus dem Vorfall ziehen und seine Verifizierungs-Systeme überprüfen: "Jedes System, das es einem Benutzer erleichtert, zu twittern, wird es auch einem Hacker erleichtern, die Kontrolle über das Konto zu übernehmen." (paz mit Material von Keystone-sda)