Bericht: 21-jähriger Brite angeblich für Twitter-Hack verantwortlich

Der Sicherheitsexperte Brian Krebs hat einen möglichen Hintermann der jüngsten Angriffe auf Twitter-Konten von Prominenten und Unternehmen identifiziert. Indizien deuten offenbar auf einen Täter aus dem Umfeld von SIM-Karten-Hackern hin, der sich hinter dem Pseudonym PlugWalkJoe verbergen soll. Laut einer Quelle aus der Sicherheitsbranche handelt es sich um einen 21-jährigen Briten aus Liverpool namens Joseph James Connor.

Derzeit soll er sich für ein Universitätsstudium in Spanien befinden. Aufgrund der Reisebeschränkungen infolge der COVID-19-Pandemie halte er sich immer noch dort auf. Identifiziert wurde der Brite demnach durch ein Detail auf einem Foto, dass PlugWalkJoe auf seinem Instagram-Konto veröffentlichte. Es soll auch in einem Videochat zu sehen sein, den Ermittler mit dem 21-Jährigen führten.

Auf die Spur des Briten kam Krebs nach eigenen Angaben über Tweets von Nutzer aus der SIM-Hacker-Szene. Auf von ihnen gekaperten Twitter-Konten wurden Screenshots von internen Tools von Twitter-Mitarbeitern veröffentlicht – von den Tools also, die laut offiziellen Angaben von Twitter für die Kaperung der Konten von Prominenten benutzt wurden.

Ursprünglich sollen es die Hintermänner auf OG-Konten abgesehen haben, deren Kontonamen sehr kurz sind und nur aus einem oder wenigen Zeichen bestehen. In den Kreisen der SIM-Hacker sollen die Übernahme solcher Konten als Statussymbol angesehen werden.

Kurz vor dem Twitter-Hack habe in einem Forum der SIM-Hacker-Community ein Nutzer namens Chaewon damit geprahlt, er könne die E-Mail-Adresse zu jedem beliebigen Twitter-Konto ändern, für nur 250 Dollar. Für 2000 bis 3000 Dollar liefere er sogar einen direkten Zugang zu einem speziellen Konto. Sein Angebot beinhaltete sogar eine Geld-Zurück-Garantie.

Wenige Stunden vor den Angriffen kaperten die Hintermänner laut Krebs das Twitter-Konto @6, das früher dem Hacker Adrian Lamo gehörte und nun im Besitz eines Sicherheitsforschers namens Lucky225 sei. Er sei von Twitter automatisiert über die Änderung der E-Mail-Adresse seines Twitter-Kontos informiert worden. Die von ihm genutzte Zwei-Faktor-Authentifizierung per mobiler App hätten die Angreifer erfolgreich ausgehebelt und ihn aus seinem Konto ausgesperrt.

„Der Angriff funktionierte so, dass man in den Admin-Tools von Twitter anscheinend die E-Mail-Adresse jedes Twitter-Benutzers aktualisieren kann, und zwar ohne irgendeine Art von Benachrichtigung an den Benutzer“, sagte der Forscher im Gespräch mit KrebsOnSecurity. „So konnten [die Angreifer] der Entdeckung entgehen, indem sie zuerst die E-Mail-Adresse des Kontos aktualisierten und danach die Zwei-Faktor-Authentifizierung ausschalteten.“

Twitter selbst äußerte sich bisher nicht zum Ablauf des Angriffs. Das Unternehmen teilte jedoch mit, dass es bisher keine Hinweise dafür gefunden habe, dass die Hacker auch Passwörter von Nutzern kompromittiert hätten. Von daher sei es derzeit nicht geplant, Nutzerpasswörter zurückzusetzen.

Laut Twitter wurde jedoch bei einigen Konten das Verfahren zum Ändern des Kennworts ausgesetzt. Damit soll verhindert werden, dass weitere Konten gekapert werden.

Seine Untersuchungen setzt Twitter indes fort. Auch US-Strafverfolger haben inzwischen Ermittlungen eingeleitet.