Twitter, Passwörter und Wahnsinnige in Torrent-Foren

In einem Blog-Post in eigener Sache gab Twitter heute Morgen zu, dass etlicher seiner User wohl Probleme mit Identitätsdiebstahl haben. Man habe festgestellt, das einigen Accounts plötzlich deutlich mehr Follower folgen würden als normal und daher sicherheitshalber ein Passwort-Reset der folgenden Konteninhaber veranlasst. Gähn, könnte man sagen, gäbe es da nicht die höchst interessante Hintergrundgeschichte.

Nach der gibt es seit Jahren ein Geschäftsmodell, bei dem Cyberkriminelle professionelle Foren aufbauen und diese dann an „normale Geschäftemacher“ verkaufen. Glaub ich gern. Diese „normalen Geschäftemacher“ kümmern sich natürlich um die wachsende Popularität ihres Forums und freuen sich über jeden Benutzer, der sich dort mit Namen und Passwort anmeldet. Glaub ich auch.

Der Cyberkriminelle freut sich ebenfalls, denn er hat im verkauften Forums-System eine Hintertür eingebaut. Durch diese Backdoor verschafft er sich jederzeit Eintritt und schöpft die digitalen Identitäten der Benutzer ab, also deren Namen, Passwort und E-Mail-Konten. Diese Zugangsdaten reichen bei unvorsichtigen Usern oft, um deren gesamte Identität zu übernehmen.

Laut Twitter-Blog (lesenswert) habe man durch Befragung der Betroffenen herausbekommen, dass es einen Zusammenhang gäbe zwischen geknackten Twitter-Konten und solchen Foren. Wobei es sich bei den Foren vor allem um Torrent-Sites handle, sagen wir‘s auf Deutsch: um Raubkopierer-Foren, in denen Bittorrent-Links zum Download angeboten werden, was für sich genommen noch ein ungefährlicher Vorgang ist.

Dazu meine 5 Cent:

  • Ich finde es schon ziemlich beknackt, dass man sich z.B. einen Film ohne Bezahlung klemmt und auf einen Rohling für 1 Euro brennt, statt sich die DVD für 1,50 Euro in der Videothek zu holen und so auch mal ein bisschen Solidarität mit den Jobs aller Menschen in der Herstellungskette digitaler Medien zu zeigen. Ich rede hier nicht davon, dass Herr M.Jackson und Frau N.Kidman bereits gut verdienen, ich rede von den zahllosen Kabellegern und Kulissenbau-Schreinern und und und – und meinen Videothekar habe ich auch nicht gerade als Anzugträger mit Kokosfaserkrawatte in Erinnerung.
  • Man muss ziemlich leichtsinnig sein, um sich als User mit Namen und Passwort bei einer Torrent-Site anzumelden. Selbst wenn man sich nicht mit seinem echten Namen anmeldet, ist es doch wahnsinnig anstrengend, diese Identität so strikt von der eigenen zu trennen, dass sie nicht zurück verfolgbar ist. Wobei sie am Ende ja doch zurück verfolgbar ist, denn das System, an dem man sich anmeldet, speichert die IP des sich anmeldenden. Kann man auch verschleiern, schon klar, aber der Aufwand… da geh ich doch lieber in die Videothek.
  • Man muss jedoch *völlig* wahnsinnig sein, wenn man in Torrent-Foren dann auch noch dasselbe Paar aus Name/E-Mail und Passwort verwendet, das man für andere Dienste nutzt – zum Beispiel Twitter. Denn so sind wohl die meisten Accounts, die laut Twitter-Blog gehackt wurden, in die Hände der falschen Leute geraten.

Das lernen wir daraus:

Vor allem:

  • Verwenden Sie niemals dasselbe Passwort zwei Mal. Jeder Service sollte sein eigenes Passwort haben.
  • Am besten verschleiern Sie auch Ihre Identität, indem der Username jedes Mal ein anderer ist.
  • Wo auch immer Konten an E-Mail-Adresse gebunden sind, tun sich Sicherheitslücken auf. Dem kann man nur beikommen, indem man verschiedene E-Mail-Konten benutzt. Wer sich schon in miesen Foren rumtreibt, sollte dafür eine spezielle, nur dafür erzeugte miese E-Mail-Adresse bei irgendeinem miesen Freemail-Anbieter verwenden.
  • Man könnte seine Identitäten auch in Sicherheitszonen staffeln: Schlechte Identitäten, die der Anonymität dienen, sind an E-Mail-A gebunden; normale Identitäten für social Klimbim und Tagesgeschäft an E-Mail-B; und wichtige Identitäten, etwa Shops, an E-Mail-C. Und natürlich dürfen diese E-Mail-Konten nichts miteinander zu tun haben.

Spezialfall Twitter-Sicherheit

Twitter-User sind besonders leichte Beute. Jeder Hinz & Kunz kann eine Website aufmachen, in ihr einen Twitter-Zusatzdienst versprechen, beim Anmeldeformular die Twitter-Zugangsdaten abfragen (denn das tun sie fast alle) und kriegt so die ID frei Haus. Er muss noch nicht mal Funktion liefern – einfach „Wir merken Sie für die Beta vor!“ auszugeben reicht aus, schon kommen noch mehr und wollen sich anmelden.

Es ist daher für jeden Nutzer, auch für Fans soziale Netze, von erheblicher Bedeutung, seine Zugangsdaten in sozialen Netzen – vor allem: das Passwort – völlig anders zu gestalten als in verbunden E-Mail-Accounts und in anderen ernstzunehmenden Systemen.