"LulzSec Reborn" hacken 10.000 Twitterkonten

  • Artikelbild
    foto: screenshot, derstandard.at

Betroffen sind Nutzer der App "TweetGif" - Twitter behauptet "alle Accounts sind sicher"

Die Nutzernamen und Passwörter von 10.000 Twitter-Mitgliedern wurden nach einem Hack im Internet veröffentlicht. Alle Betroffenen nutzen die Anwendung "TweetGif" für animierte Bilder. Zu dem Leak hat sich "LulzSec Reborn", eine Splittergruppe von "LulzSec" bekannt. Indes behauptete ein Twitter-Sprecher gegenüber der LA Times, dass alle Accounts sicher seien.

Gründe unbekannt

Die Gruppe "LulzSec Reborn", um die es seit dem Angriff auf die Website MilitarySingles.com ruhig geworden war, veröffentlichte eine Nachricht auf Pastebin. Dort hinterließen die Angreifer einen Download-Link für eine SQL-Datei. Eine Begründung für den Angriff gaben sie nicht ab. 

Sichere Nutzung

Die veröffentlichten Daten enthalten die echten Namen der User, Ortsdaten, Biographien und für TweetGif benötigte Tokens, über welche man auf die Twitter-Konten zugreifen kann. Wer "TweetGif" auch weiterhin nutzen möchte, sollte unter Einstellungen (Settings) die Zugriffsrechte aufheben (Revoke Access). (ez, derStandard.at, 13.6.2012)

Share if you care
3 Postings

Und warum entzieht Twitter der App nicht zentral alle Berechtigungen? Dann sind die Zugriffstokens alle ungültig und der Schaden hält sich in Grenzen.

Die Frage ist doch, ob sich die App diese Daten nicht von einer normalen Authentifizierung hat.. Es gab eine Zeit vor OAuth&co. Würde mich nicht wundern, wenn man sich auch so noch authentifizieren kann oder zumindest die Daten eben noch gespeichert sind..

Soweit ich weiß, wird die Authentifizierung mit Benutzername und Passwort seit einiger Zeit durch Twitter nicht mehr unterstützt, d.h. OAuth ist verpflichtend. Finde leider keine Quelle, seinerzeit gab's meines Wissens einen Haufen Artikel dazu.

Was mir gerade auffällt: Würde TweetGif OAuth so verwenden, wie es gedacht ist, wäre TweetGif nie im Besitz von Passwörtern zu Twitter-Accounts. Also sind das entweder alte Passwörter oder TweetGif setzt OAuth fehlerhaft um (d.h. man gibt TweetGif Benutzername und Passwort zum Twitter-Account, TweetGif loggt sich dann bei Twitter ein und erlaubt sich selbst den Zugriff via OAuth). Ich kann's mir leider nicht ansehen, der Login von TweetGif scheint derzeit deaktiviert sein.

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.