Anzeige
Tech

Hacker-Homie berichtet auf Twitter, wie 0rbit angeblich Accounts seiner Opfer knackte

Die Geschichte vom Datenleak ist auch die von ein paar Jungs, die einfach nicht den Mund halten möchten.

von Sebastian Meineck
09 Januar 2019, 12:39pm

Bild: Shutterstock | TY Lim || Twitter | Screenshots

Schwer zu sagen, was zuerst kam: Da ist einmal die unersättliche Neugier von Journalistinnen und Journalisten, die jedes Detail über 0rbit und sein Datenleak von rund 1.000 Politikern und Promis erfahren möchten. Und dann ist da der unermüdliche Redebedarf zweier Jungs, die den 20-jährigen 0rbit aus anonymen Chats kennen.

Tomasz Niemiec und Jan Schürlein, beide 19 Jahre alt, haben inzwischen in zahlreichen Tweets und Medienberichten klar gemacht: Sie hatten sich mit 0rbit ausgetauscht, sie haben Textnachrichten hin- und hergeschrieben und dabei auch mal über YouTuber gewitzelt. Aber sie haben dabei nicht erfahren, wer dieser ominöse 0rbit ist. Beide haben ausführlich darüber getwittert, wie Journalisten sie mit Anfragen bombardieren, wie Reporter vor ihrer Haustür lungern und wie sie von Polizisten befragt wurden. Schürlein berichtete sogar, wie die Polizei bei einer Hausdurchsuchung im Wohnzimmer stand.

Die beiden Teenager haben derart fleißige Pressearbeit geleistet, dass einige Nachrichtenmedien sogar zu dem Schluss kamen, es müsse eine ganze "Szene" aus YouTube-Hackern geben. "Ist die YouTube-Hacking-Szene eine homogene Truppe?", fragt zum Beispiel ein WDR-Reporter im Videointerview mit Niemiec. Die Antwort dürfte den Reporter ernüchtert haben: Es gebe keine "Szene", sagt Niemiec.

Was es stattdessen gibt, sind vor allem zwei überaus gesprächige Teenager und ein neuerdings geständiger Hacker. Drei Internet-begeisterte Jungs mit dem großen Bedürfnis, Dinge loszuwerden. In seinen jüngsten Tweets hat Jan Schürlein nun weitere Details verraten, die für Betroffene des Leaks interessant sein dürften – und für alle, die ihre Accounts vor Hackern sichern möchten.

Angebliche Schwachstellen bei GMX und dem Twitter-Support

"0rbit hat übrigens hauptsächlich GMX-Accounts gehijacked", twittert Schürlein am Abend des 7. Januars. Es soll angeblich eine Sicherheitslücke "beim Passwort-Reset/Support" geben. Über diese Lücke habe 0rbit in der Vergangenheit zuerst die E-Mail-Postfächer und dann andere Accounts von YouTubern gekapert. Auf Nachfrage von Motherboard antwortet die Pressestelle von GMX am 9. Januar per E-Mail: "Wir haben den fraglichen Sachverhalt überprüft. Der Verdacht auf eine Sicherheitslücke hat sich nicht bestätigt." Aufgrund des Tweets von Schürlein sei "keine Maßnahme bei GMX-Nutzern erforderlich".

Es ist durchaus möglich, dass die angesprochene Lücke bei GMX keine technische ist. Denn der zweite Trick von 0rbit habe darin bestanden, die Menschen des Teams vom Twitter-Support zu täuschen. Das beschreibt Schürlein in einem weiteren Tweet vom 7. Januar. Demnach habe 0rbit, sobald er ein E-Mail-Postfach übernommen habe, im Namen seines Opfers Nachrichten mit dem Twitter-Support-Team getauscht und darum geben, die Zwei-Faktor-Authentifizierung (2FA) abzuschalten. "Twitter setzt auf Anfrage die 2FA-Authentifizierung zurück, wenn man sie verloren hat", twittert Schürlein.

Motherboard hat die Twitter-Pressestelle per E-Mail um eine Stellungnahme gebeten, wenn wir eine Antwort erhalten, werden wir den Artikel entsprechend updaten. Der Twitter-Trick legt nahe: Eventuell hat 0rbit versucht, auf ähnliche Weise auch den GMX-Support im direkten Austausch zu manipulieren, um an die Accounts zu gelangen. Ein Sprecher teilte Motherboard per E-Mail mit, hierzu habe GMX „keine Hinweise”.

Mit 2FA für E-Mail-Accounts wird alles besser

Grundsätzlich könnten sich Nutzer vor diesen und ähnlichen Maschen schützen, indem sie auch ihre E-Mail-Postfächer mit einer 2FA absichern. In diesem Fall müssen sie beim Login neben ihrem regulären Passwort noch einen zweiten Code eingeben. Dieser Code wird live auf einem separaten Gerät generiert und ist nach wenigen Sekunden nicht mehr gültig. Leider bieten nicht alle E-Mail-Provider 2FA – eine Übersicht gibt es zum Beispiel hier.

Natürlich kann es sein, dass die beschriebenen Tricks zum Kapern von Accounts im Detail anders abgelaufen sind oder nicht mehr funktionieren. Es gibt zudem keine Garantie, dass 0rbit oder Schürlein die Tricks korrekt oder vollständig wiedergegeben haben. Zumindest in einem bekannten Fall ist es 0rbit aber offenbar tatsächlich gelungen, irgendwie die Twitter-2FA zu umgehen: nämlich beim Hack des bekannten YouTubers Simon Unge. Das berichtet der YouTube-Star jedenfalls in mehreren Tweets vom 5. Januar.



0rbit hatte Unges Twitter-Account demnach Anfang Januar gekapert, und er hatte damit Großes vor: Mithilfe von Unges Twitter-Account wurden nämlich die Links zu 0rbits großem Datenleak verbreitet. Erst dadurch ist die Öffentlichkeit überhaupt auf den Datendiebstahl aufmerksam geworden. Während überraschte Simon-Unge-Fans also das Datenleak erkundeten, bat Unge einen umtriebigen 19-Jährigen um Hilfe, seinen Twitter-Account zurückzuerlangen: Tomasz Niemiec. Schon wieder Niemiec. Wir erinnern uns: Wie groß ist die YouTube-Hackingszene? Nun ja.

Update, 9. Januar, 15.30 Uhr: Wir haben den Text um ein Statement von GMX ergänzt.

Offenlegung: Tomasz Niemiec war auch bereits als Freelancer für Motherboard tätig.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter