Bereits im Januar dieses Jahres wurde der Kurznachrichtendienst Twitter (App Store-Link) über das eigene Bug-Bounty-Programm auf eine Sicherheitslücke aufmerksam gemacht. Letztere hatte durchaus eine Brisanz: Sobald sich jemand mit E-Mail-Adresse oder Telefonnummer bei Twitter anmeldete, wurde an die Twitter-Systeme übermittelt, zu welchem Konto die Daten gehörten. Twitter reagierte und reparierte die Sicherheitslücke, die aus einer Code-Aktualisierung im Juni 2021 stammte.
Bis dahin schien das Sicherheitsproblem eines von vielen gewesen zu sein: „Zu diesem Zeitpunkt hatten wir keine Beweise dafür, dass jemand die Schwachstelle ausgenutzt hatte“, erklärte Twitter in einer kürzlich veröffentlichten Stellungnahme. Erst im Juli dieses Jahres erfuhr Twitter durch einen Pressebericht, dass die Sicherheitslücke doch ausgenutzt worden war: Jemand hatte versucht, die Informationen zu verkaufen. Ein krimineller Hacker bot die Daten von rund 5,4 Millionen Twitterkonten in einem Hackerforum für 30.000 USD zum Verkauf an.
„Wir werden die Kontobesitzer, von denen wir bestätigen können, dass sie von diesem Problem betroffen waren, direkt benachrichtigen. Wir veröffentlichen dieses Update, weil wir nicht in der Lage sind, alle potenziell betroffenen Konten zu bestätigen. Wir achten besonders auf Personen mit pseudonymen Konten, die ins Visier von staatlichen oder anderen Akteuren geraten können.“
So berichtet Twitter in der aktuellen Stellungnahme zum Thema. Das Unternehmen empfiehlt, die eigene Identität weiterhin so verschleiert wie möglich zu halten und keine öffentlich bekannte Telefonnummer oder E-Mail-Adresse zum Twitter-Account hinzuzufügen. Auch wenn keine Passwörter kompromittiert wurden, legt Twitter nahe, eine Zwei-Faktor-Authentifizierung zu verwenden, um den eigenen Account vor unbefugten Anmeldungen zu schützen.