Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"
Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.
Twitter-Hacker hatten Zugriff auf Direktnachrichten
23. Juli 2020 um 11:37
Der Hackerangriff offenbart ein weiteres grosses Sicherheitsproblem bei Twitter.
Bei der Hacker-Attacke auf Twitter vor einer Woche haben die Angreifer bei bis zu 36 der 130 betroffenen Accounts auch auf Direktnachrichten zugreifen können, wie Twitter nun mitteilt. Bei einem der Opfer habe es sich um einen "gewählten Amtsträger der Niederlande" gehandelt. Bisher gebe es aber keine Anzeichen dafür, dass die Direktnachrichten weiterer ehemaliger oder gegenwärtiger gewählter Amtsträger betroffen gewesen seien.
Laut 'Techcrunch' handelt es sich beim erwähnten Politiker um des Rechtspopulisten Geert Wilders.
Bei dem Twitter-Hack wurde am vergangenen Mittwoch, dem 15. Juli über gekaperte Accounts von beispielsweise Barack Obama, Bill Gates, Jeff Bezos und Elon Musk ein Bitcoin-Betrug beworben: Nutzer wurden aufgerufen, Kryptowährung einzuschicken, mit dem Versprechen, den Betrag doppelt zurück zu erhalten. Laut 'Techcrunch' spülte diese Masche einen zumindest sechsstelligen Betrag in die Kassen der Hacker.
Twitter erklärte, einige Mitarbeiter seien "manipuliert" worden und die Angreifer hätten sich mit ihren Login-Daten Zugriff auf interne Systeme der Firma verschaffen können.
Dies zeigte bereits ein grundsätzliches Problem bei Twitter: Einige Twitter-Mitarbeitende haben offensichtlich die Möglichkeit, User-Accounts für eigene Zwecke zu missbrauchen, wenn sie dies tun wollten.
Die Nachricht, dass die Hacker Direktnachrichten lesen konnten, zeigt nun aber ein weiteres Problem: Offensichtlich sind Direktnachrichten nicht genügend verschlüsselt und Twitter-Leute haben Tools um diese einzusehen. Der mangelnde Schutz dieser Nachrichten wird schon seit längerem kritisiert. Der US-Senator Ron Wyden schrieb beispielsweise in einem Statement, dass er den Twitter-CEO Jack Dorsey gedrängt habe, eine End-to-End-Verschlüsselung für diese Nachrichten einzuführen, sodass sie nur vom Sender und vom Empfänger gelesen werden können.
"Twitter-Direktnachrichten sind immer noch nicht verschlüsselt", kritisierte Wyden. "Dies macht sie verwundbar für Angestellte welche ihre internen Zugänge missbrauchen oder auch für Hacker, die darauf Zugriff erhalten."
Loading
Ingram Micro erholt sich von Cyberangriff
Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.
100 Tage Meldepflicht: Das Bacs zieht erste Bilanz
Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.
SAP patcht hochkritische Lücken
In Supplier Relationship Management gibt es eine Schwachstelle, die die höchste CVSS-Bewertung erhalten hat. Patches für diese und weitere schwerwiegende SAP-Lücken stehen zur Verfügung.