Mutmaßlicher Drahtzieher beim Twitter-Hack Der rätselhafte "Kirk"

Wer steckt hinter dem Twitter-Hack, bei dem die Accounts Prominenter für eine Betrugsmasche warben? US-Medien und Tech-Experten vermuten, dass es sich um eine Gruppe junger Täter handelt - mit einem Drahtzieher.
Twitter: Nach Sicherheitsproblemen steht das Unternehmen in der Kritik.

Twitter: Nach Sicherheitsproblemen steht das Unternehmen in der Kritik.

Foto: SOPA Images/ LightRocket/ Getty Images

Der neueste Blogpost von Twitter  klingt zunächst unspektakulär: Insgesamt 130 Accounts der Plattform seien ins Visier genommen worden, heißt es darin. Bei 45 davon sei es den Angreifern gelungen, das Passwort zurückzusetzen, sich einzuloggen und Tweets abzusetzen. In einem Dienst mit mehreren Hundert Millionen aktiven Nutzern ist also bei wenigen etwas schiefgelaufen – so suggeriert es der Beitrag, in dem kein einziger betroffener Account benannt wird: "Es ist uns peinlich, wir sind enttäuscht, und mehr als alles andere tut es uns leid."

Praktisch weiß natürlich die gesamte Tech-Welt, dass Twitters hier beschriebenes Problem keine Lappalie ist. Sondern eine Panne, die das Potenzial besitzt, dem Vertrauen in die Sicherheitssysteme des Unternehmens nachhaltig zu schaden. Von den 130 ins Visier genommen und den 45 schwer betroffenen Nutzerkonten gehörte schließlich ein Teil Politikern und Unternehmern, die zu den bekanntesten Menschen der Welt zählen. Twitter muss das gar nicht mehr selbst aussprechen, der Vorfall machte rund um den Globus Schlagzeilen.

Am Mittwochabend hatten die Accounts prominenter Netzwerk-Nutzer wie Joe Biden, Barack Obama, Bill Gates und Kanye West plötzlich mit ähnlich lautenden Kurznachrichten auf eine Bitcoin-Betrugsmasche aufmerksam gemacht. Millionen Follower der Prominenten bekamen jene Scam-Nachrichten live zu sehen - Nachrichten, von denen jede für sich auf die Plattform hinaus schrie, dass dort gerade irgendwas mächtig schiefläuft.

Lasen die Hacker private Nachrichten?

Twitter ist nun seit mehreren Tagen dabei, das Geschehen aufzuarbeiten - flankiert von Warnungen von Tech-Experten, dass die Angreifer möglicherweise auch private Nachrichten der gekaperten Accounts hätten einsehen können. Elon Musk ist schon für die Härte seiner öffentlichen Mitteilungen berühmt-berüchtigt. Wie kommuniziert der ebenfalls von dem Hack betroffene Tesla-Chef wohl nicht-öffentlich?

Twitter selbst hat weder bestätigt noch dementiert, dass Privatnachrichten abgerufen werden konnten. Der Dienst teilt nun allerdings mit, die Angreifer hätten bei den 130 angegriffenen Accounts persönliche Daten wie Telefonnummern und E-Mail-Adressen einsehen können. Bei den 45 vollständig gekaperten Nutzerkonten könnte es laut Twitter indes möglich gewesen sein, auch "zusätzliche Informationen" abzurufen.

Auch zur Vorgehensweise der Angreifer hat Twitter seine Angaben ein Stück weit konkretisiert. Demnach soll es den Angreifern gelungen sein, eine "kleine Zahl von Angestellten zu manipulieren" und mit deren Zugängen auf interne Twitter-Systeme zuzugreifen. Dabei sollen auch Zwei-Faktor-Schutzsysteme ausgehebelt worden sein.

Im Fall von acht attackierten Accounts soll von den Angreifern die Funktion "Deine Twitter-Daten" genutzt worden sein, mit der sich Informationen zur bisherigen Account-Aktivität als Datenpaket herunterladen lassen, darunter auch Privatnachrichten. Bei jenen acht Konten soll es sich allerdings um nicht-verifizierte Konten handeln - das bedeutet, dass es bei den Promi-Konten zumindest jenen besonders umfangreichen Datenmitschnitt nicht gegeben hat.

Es gibt einige Spuren zu den Tätern

Dazu, wer hinter dem schlagzeilenträchtigen Angriff stecken könnte, schreibt Twitter nichts. Das Unternehmen kündigte lediglich noch an, seine Systeme und Mitarbeiter besser auf künftige Attacken vorzubereiten und sich zu bemühen, einige aus Sicherheitsgründen noch immer gesperrte Accounts zeitnah wieder freizuschalten. Ebenso arbeite man weiter mit Strafverfolgern zusammen, um die Vorfälle aufzuklären, so das Unternehmen.

US-Medien und Tech-Experten gehen derweil verschiedenen Spuren nach - so war etwa der Sicherheitsexperte Brian Krebs einer Fährte in die "Sim-Swapping"-und Account-Klau-Szene gefolgt und auf einen 21-jährigen Briten gestoßen, der sich gerade in Spanien aufhält. Ein noch detaillierteres Bild der Hintergründe skizzierte nun die "New York Times" , die von Chats mehrerer Menschen um die 20 auf der vor allem von Gamern genutzten Plattform Discord berichtet. Bevor die Accounts von Bitcoin-Börsen und schließlich die Promi-Accounts gekapert wurden, sei es in den Konversationen zunächst darum gegangen, wie kurze und damit besondere Nutzernamen wie @y, @6 oder @50 erbeutet und weiterverkauft werden könnten, heißt es.

Den Auftakt zu jenen Unterhaltungen machte laut Screenshots ein Nutzer namens "Kirk", der behauptete, ein Twitter-Mitarbeiter zu sein, unabhängig vom Wahrheitsgehalt dieser Aussage aber offenbar tatsächlich Zugriff auf ein wichtiges internes Twitter-System hatte. Jener Brite, den Brian Krebs mit dem Hack in Verbindung brachte, berichtete der "New York Times" dazu, er habe gehört, dass es "Kirk" gelungen sei, über einen Twitter-Kommunikationskanal in der Bürosoftware Slack an seinen besonderen Zugang ins Twitter-System zu gelangen. Twitter selbst gab dazu keinen Kommentar ab.

Angeblich kein Kontakt mehr zu "Kirk"

Die "New York Times", die mit vier Personen aus dem Umfeld der Attacke Kontakt hatte, geht davon aus, dass hinter dem Angriff kein einzelnes Land wie Russland steckt und auch keine hochprofessionelle Hackergruppe. Stattdessen sei wohl eine "Gruppe junger Menschen" verantwortlich. Ihre Vorliebe für ungewöhnliche Twitter-Nutzernamen habe sie miteinander in Kontakt gebracht.

Während die Zeitung bei einigen der Beteiligten die Lebensumstände erfragt hat - einer der Chat-Teilnehmer ist demnach 19 und lebt in England bei seiner Mutter -, wirft die Identität und die Motivation von "Kirk" jedoch Rätsel auf. "Kirk", so legt es der Artikel nahe, sei auch diejenige Person, die an Privatnachrichten der Prominenten hätte kommen können und die Zugriff auf jene Bitcoin-Wallet hatte, die beim Betrugsversuch mit den Promi-Accounts genutzt wurde.

Von den Interviewpartnern der Zeitung wird "Kirk" klar als Drahtzieher der Aktion inszeniert. Sich selbst stellen sie als nur am Rande Involvierte oder Mittelsmänner dar, die zwar in erste, weniger schlagzeilenträchtige Account-Übernahmen verstrickt waren, nicht aber in den Betrugsversuch mit den Promi-Accounts.

Nach jenem auf Millionen Twitter-Nutzer abzielenden Vorstoß, auf den hin tatsächlich umgerechnet mehr als 100.000 Euro bei der offenbar zu "Kirk" gehörende Bitcoin-Adresse eingingen, soll jener Drahtzieher schließlich abgetaucht sein. Seine Chat-Partner jedenfalls sagen, ihr Kontakt zu "Kirk" sei abgebrochen.

Die Wiedergabe wurde unterbrochen.