Für rund 400 Millionen Twitteraccounts sind Mailadresse und Telefonnummer illegal abgefragt und gespeichert worden. Jetzt wird der Konzern erpresst, außerdem kommen voraussichtlich auch noch Strafen der Datenschutzbehörden auf Twitter zu.

Die Daten von rund 400 Millionen Twitter-Nutzer*innen sind illegal abgegriffen worden. Inzwischen drohen die Kriminellen mit der Veröffentlichung. Abgegriffen haben sie die Daten wohl im Januar 2022. Die Täter*innen sind an Elon Musk, den Eigentümer des Dienstes, herangetreten und fordern ein Lösegeld von 200 Millionen Dollar, berichtet Deutschlandfunk-Nova-Netzreporter Michael Gessat (Stand 27.12.2022). Zur Einordnung: Den letzten Quartalszahlen des Konzerns zufolge liegt die Zahl der aktiven Nutzenden bei täglich bei 237,8 Millionen.

"Twitter hat die Lücke offenbar wenige Tage nach Bekanntwerden am 1. Januar 2022 gestopft, aber das war, wie sich jetzt herausstellt, trotzdem zu langsam."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

IT-Experten hatten Anfang 2022 die Sicherheitslücke bei dem Microblogging-Dienst entdeckt und bekannt gemacht. "Möglicherweise bestand die schon seit Juni 2021 im Twitter-Programmcode", sagt Michal Gessat.

Passwörter nicht betroffen

Offenbar konnten bei dem Datendiebstahl Mechanismen ausgenutzt werden, die eigentlich für den Abgleich zwischen Android-Geräten und Twitter vorgesehen waren. Vielen Twitter-Konten sind wegen der Zwei-Faktor-Authentifizierung Handynummern zugeordnet – Mailadressen sowieso.

Die Datensätze aus Username-Email-Telefonnummer sind von den Täter*innen automatisiert und sehr schnell für Millionen von Konten abgefragt worden. Das Passwort hingegen nicht. Scraping nennt sich dieses massenhafte Abfragen und Speichern von Datensätzen, erklärt Michael Gessat.

Eher ein Problem für Prominente

Über die genaue Zusammensetzung der abgegriffenen Account-Daten gibt es bislang noch keine verlässlichen Informationen. Twitter hat aber damit begonnen, Betroffene zu informieren. Der Datendiebstahl sei besonders für prominente Twitter-Nutzende ungünstig, sagt Michael Gessat. Für normale User*innen seien die Auswirkungen eher marginal, findet er.

"Es gibt prominente Leute; Stars oder Politiker*innen, die ihre Mobilfunknummer und Emailadresse nicht publik machen wollten."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Unabhängig davon, ob Elon Musk nun Geld für die Datensätze zahlt, droht schon nach dem Bekanntwerden des Vorfalls eine sehr happige Geldbuße der europäischen Datenschutzbehörden – möglicherweise eine dreistellige Millionensumme, vermutet Michael Gessat. Bereits Ende November 2022 hatte Twitter das Abgreifen von rund 5,4 Millionen vergleichbaren Datensätzen bestätigen müssen.

"Das sind definitiv schlechte Nachrichten für den Twitter-Eigner Elon Musk. Auch wenn der für dieses Problem definitiv nicht verantwortlich ist."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter
  • Moderation:  Till Haase
  • Gesprächspartner:  Michael Gessat, Deutschlandfunk-Nova-Netzreporter