Was haben die Social Media-Manager von Unicef, Forbes, Pro7, dem BVB, Kentucky Fried Chicken in Südafrika, der Zeitung Die Welt sowie Klaas Heufer-Umlauf und Boris Becker gemeinsam? Sie alle sahen am heutigen Mittwoch nach dem Aufwachen einen Hakenkreuz-Post auf ihrem Twitter-Account prangen.
Am frühen Morgen haben Pro-Erdoğan-Hacker zahlreiche solcher prominenter Accounts in mehreren Ländern übernommen und mit einer politisch motivierten Botschaft zugepflastert. Darin werden Deutschland und die Niederlande als Nazistaaten bezeichnet, darunter folgt ein wenig türkische Propaganda, die sich auf die Abstimmung zum umstrittenen Verfassungsreferendum am 16. Mai in der Türkei bezieht.
Videos by VICE
Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter
Zu der Attacke hat sich die nationalistische türkische Hackergruppe „Cyber Warrior” bekannt. „Wir verurteilen das faschistische Vorgehen gegen unsere Minister in den letzten Tagen in Europa”, heißt es in einem Statement zu den Hacks auf Twitter. „Jeder, der unser Land angreift, wird in Zukunft von uns angegriffen.” Belastbare Informationen, die belegen würden, dass sie hinter dem Angriff stecke, lieferte die Gruppe allerdings nicht.
Schnell wurde klar, dass die Hacker keine Log-In-Daten gestohlen haben oder ein Problem bei Twitter selbst vorlag. Es war vielmehr die App Twitter Counter, die den Hackern Tür und Tor geöffnet hatte. Die Accounts, auf denen die Propaganda gepostet wurde, benutzten allesamt diesen Dienst, der zum Beispiel dafür genutzt werden kann, Tweets auf Reichweite zu analysieren. Wenig später nach den Nazi-Posts musste die Firma mit Sitz in Amsterdam vermelden, dass sie Opfer eines Hacks geworden war. Doch wie genau konnten sich die Hacker so schnell Zugang zu so vielen Accounts verschaffen?
Drittanbieter-Apps wie Twitter Counter kann jeder mit seinem Twitter-Account verbinden. Dazu fragt die Anwendung den Nutzer einmalig nach einer Zugriffsberechtigung. Und genau hier liegt der Knackpunkt, denn man gesteht der App dabei auch Lese- und Schreibrechte zu. Das erklärt auch, warum die Nazi-Tweets heimlich abgesetzt werden konnten, die ursprünglichen Account-Inhaber aber trotzdem noch auf ihr Konto zugreifen konnten, um der Welt mitzuteilen, dass sie gehackt worden seien.
Will die App sich Zugriff auf die Accounts ihrer Nutzer verschaffen, muss sie dafür den Nutzer nicht mehr um Erlaubnis fragen. Dafür generiert Twitter auf Anfrage von Twitter Counter sogenannte Tokens – zeitgebundene Berechtigungen, die man sich wie eine Tür mit Zeitschaltuhr vorstellen kann. „Wir gehen davon aus, dass die Hacker die Autorisierung unserer App benutzt haben, um im Namen unserer Nutzer zu posten. Dafür haben sie von Twitter generierte Tokens verwendet”, versucht Ana Morais gegenüber Motherboard zu erklären, wie der Angriff zustande kam.
In diesem Fall ist der Weg des Angriffs clever gewählt, weil viele größere Firmen und Organisationen ihre Twitter-Accounts gegen herkömmliche Hacker-Attacken bereits gut abgesichert haben, indem sie zum Beispiel 2-Faktoren-Authentifizierung aktiviert haben (mehr dazu unten) und starke Passwörter benutzen. Gleichzeitig ist die Wahrscheinlichkeit, dass professionelle Accounts mit großer Reichweite Analyse-Tools wie Twitter-Counter einsetzen, relativ hoch.
Twitter Counter empfiehlt ein starkes Twitter-Passwort. Schön und gut , doch hätte das die Nutzer vor dem Angriff irgendwie geschützt? „In diesem Fall lautet die Antwort leider Nein”, räumt die Firma auf Nachfrage ein.
Die Hacker nutzen für ihren Angriff also ein leicht zu übersehendes Einfalltor: Die Berechtigungen, die Drittanbieter-Apps anfordern. Denn so mancher Nutzer vergisst gern mal, welcher Firmen-App er eigentlich was erlaubt hat (das gilt übrigens auch für Facebook). Noch schwieriger ist es natürlich für einen Twitter-User, Kontrolle oder Überblick über die Sicherheitsstandards eines oder mehrerer solcher Drittanbieter zu behalten, deren Programme unauffällig im Hintergrund laufen.
Twitter Counter scheint anfällig zu sein. Es ist nicht das erste Mal, dass der Dienst gehackt wurde: Erst am 18. November 2016 benutzten Unbekannte eine ähnliche Lücke, um Spam über einige sehr beliebte Firmen-Accounts wie die von Playstation und Xbox zu verschicken.
Mehr dazu auf Vice Sports: Hakenkreuz und „Osmanische Schelle”: Erdogan-Trolle hacken BVB-Account
„Wir wissen, dass dieser letzte Angriff [im November, d.Red.] aus der Türkei kam”, erklärt Ana Morais, die für Twitter Counter das Marketing leitet. „Und wir haben Grund, zu glauben, dass diese Attacke ebenfalls aus der Türkei kommt, aber bis wir 100% sicher sind, werden wir uns nicht festlegen.” Wie viele Nutzeraccounts betroffen sind, konnte uns Morais selbst nicht sagen: „Das wissen wir einfach nicht.” Eine Nachricht oder ein Bekennerschreiben direkt bei dem niederländischen Twitterdienst hätten die Hacker von Cyber Warrior ebenfalls nicht hinterlassen. Beziehungsweise: „nicht, dass wir wüssten”, so Morais.
In den Twitter Counter-Hauptquartieren in Amsterdam ist man selbst von der Attacke überrascht. Über die Konsequenzen der Angriffe vom vergangenen November befragt, erklärt man uns: „Wir (…) haben daraufhin eine Sicherheitsprüfung vorgenommen. Bei der kam ans Licht, wo wir uns noch verbessern können. Seit diesem Zeitpunkt haben wir fortlaufend unsere Sicherheitsmaßnahmen verbessert und waren uns ziemlich sicher, dass eine weitere Attacke unwahrscheinlich wäre.”
Was Twitter-User für ihre Sicherheit tun können
Solltest du den Twitter Counter benutzen, ist es eine gute Idee, der App (oder anderen, die man nicht mehr benutzt) den Zugriff zu deinem Account zu entziehen. Dazu suche in Twitters App-Einstellungen nach „The Counter” und klicke „Revoke Access” an. Als Faustregel gilt: je weniger Dritte auf deinen Account zugreifen können, umso sicherer ist er.
In jedem Fall ist es eine gute Idee, seinen eigenen Account gegen Hacks anderen Ursprungs mit einer 2-Faktoren-Authentifizierung zu schützen. Dazu verknüpfst du deinen Account mit einer Mobilfunknummer und bekommst nach Eingabe des Passworts auf Twitter einen Code auf Telefon geschickt, den du zusätzlich eingeben musst.
Diese Art der Anmeldung hat drei Vorteile, die den Prozess sicherer machen: Erstens müsste der Angreifer nicht nur im Besitz deines Passworts sein (wenn es ein Schwaches ist, lässt sich das automatisiert durch einfaches Durchprobieren aller möglichen Kombinationen nämlich schnell mit einem Programm erraten), sondern er müsste für einen Hack deines Accounts auch Zugriff auf dein Handy haben.
Zweitens wird der Code als SMS verschickt und damit auf einem anderen Übertragungsweg als über das Internet. Das wiederum macht es für einen Hacker weitaus schwieriger, diesen Code elektronisch abzufangen (wenn es auch nicht unmöglich ist, ist es doch angesichts des Aufwands extrem unwahrscheinlich).
Drittens ist die Zwei-Faktoren-Authentifizierung ein guter Weg, um alarmiert zu werden, sobald jemand versucht, sich in deinem Account anzumelden: Bekommst du eine Code-SMS, die du nicht angefordert hast, versucht wahrscheinlich gerade jemand, dein Passwort einzugeben (jetzt wäre ein guter Zeitpunkt, um sich selbst einzuloggen und es schleunigst zu ändern).
Dieses Vorgehen empfiehlt auch Twitter Counter in einer Mail an Motherboard. In Bezug auf die jüngste Attacke ist das allerdings eher ein Ablenkungsmanöver: Denn auf unsere Nachfrage, ob diese üblichen Sicherheitsstandards auf Nutzerseite wie ein starkes Passwort und die 2-Faktoren-Authentifizierung den aktuellen Hack verhindert hätten, muss die Firma einräumen: „In diesem Fall lautet die Antwort leider Nein.”