Hacker haben die Zugangs-Daten von nahezu 33 Millionen Twitter-Usern zum Verkauf angeboten. Die Bestände enthalten Zugangs-Namen und Passwort. Es sind vor allem russische User betroffen – doch es kann jeden treffen.
Es sind harte Zeiten gerade: Es vergeht kaum eine Woche, ohne dass im großen Stil Login-Daten gekapert werden. In den vergangenen Wochen wurden bereite im großen Stil Zugangs-Daten zu Linked-In, Tumblr, Myspace und fling.com entwendet – in gut dreistelliger Millionen-Höhe. Jetz hat es auch Twitter getroffen. Aktuellen Berichten zufolge wurden jetzt die Zugangs-Daten zu 32 Millionen Twitter-Accounts zum Kauf angeboten – mit Pass-Wort! Ein ungeheurer Umfang.
Rund 32 Millionen Zugangs-Daten von Twitter-Usern erbeutet
Vor allem russische Opfer
Es scheinen vor allem russische User betroffen zu sein. Laut Online-Dienst Cnet sind die meisten betroffenen Twitter-Accounts mit eMail-Adressen von mail.ru oder Yandex verbunden. Das wiederum spricht dafür, dass nicht Twitter selbst gehackt wurde, sondern vielmehr eine Phishing-Attacke erfolgreich war oder andere Daten-Banken in Russland angezapft wurden. Das Ausmaß jedenfalls ist beachtlich – und erschreckend. Ebenso die Tatsache, dass mal wieder besonders häufig die üblichen No-Go-Pass-Wörter wie „123456“ verwendet wurden. Allein das (originelle) Pass-Wort „pass-word“ wurde über 17.000 Mal verwendet.
Man kann es offensichtlich nicht oft genug sagen, wie wichtig es ist, ein komplexes Pass-Wort zu benutzen. Denn selbst, wenn die Pass-Wörter nicht im Klar-Text geklaut werden (das ist heute zum Glück eher selten der Fall): Von bekannten Pass-Wörtern sind die Hash-Codes bekannt, die verwendet werden, um die Pass-Wörter zu verschlüsseln. Bekannte Pass-Wörter lassen sich daher so einfach lesen wie unverschlüsselte. Braucht es mehr gute Gründe, ein komplexes Pass-Wort zu verwenden?
Vor allem russische User betroffen: Durch eine Phishing-Attacke?
Besser schützen – durch Zwei Faktor Authentifizierung
Darüber hinaus ist es auch bei Twitter schon lange möglich, die Zwei-Faktor-Authentifizierung zu verwenden. Das bedeutet: Man verwendet neben Konto-Name und Pass-Wort auch noch sein Smartphone, um sich zu authentifizieren. Wenn man auf sein Konto zugreifen möchte, muss man einen zusätzlichen Code eingeben, der einem entweder per SMS zugeschickt oder direkt im Gerät erzeugt wird. Im Alltag keine allzu große Zusatz-Belastung, aber ein enorm effektiver zusätzlicher Schutz.
Das Ausmaß der erbeuteten Login-Daten in diesem Jahr nimmt bedrohliche Ausmaße an. Es wird aller höchste Zeit, dass das technisch längst überholte Modell Benutzer-Name/Pass-Wort durch bessere Methoden abgelöst wird, etwa bio-metrische Verfahren.
Mein Tipp: Wer wissen will, ob er auch Opfer dieser oder einer anderen Hacker-Attacke wurde, der befragt die Daten-Bank von leakedsource.com. Einfach die eigene eMail-Adresse eingeben und den Bericht abwarten. Ebenfalls einen Besuch wert: Der ganz ähnlich gestrickte Service vom Hasso Plattner Institut.
