Zum Hauptinhalt springen

Accounts von US-Promis gekapertWie die Polizei den Twitter-Hackern auf die Spur kam

Die teils jugendlichen Hacker machten bei ihrem Beutezug in Trumps Lieblingsnetzwerk Fehler. Die entscheidende Hilfe bekam das FBI jedoch ausgerechnet von anderen Hackern.

Der ehemalige US-Präsident Barack Obama ist eines der Opfer der Twitter-Hacker.
Der ehemalige US-Präsident Barack Obama ist eines der Opfer der Twitter-Hacker.
Foto: Philipp Guelland/Keystone

Am 15. Juli wurde im zwielichtigen Internetforum «OG-Users» ein überraschender Service beworben. Ein Nutzer namens «Chaewon» bot an, für rund 3000 Dollar die Kontrolle über jeden beliebigen Twitter-Account zu übernehmen. Auf OG-Users werden immer wieder Social-Media-Accounts gehandelt, aber dass einfach so Twitter-Accounts übernommen werden können, hatte es noch nicht gegeben. Schnell fanden sich Interessenten für das Angebot.

Auf OG-Users tauschen sich Nutzer über sogenannte OG-Accounts aus, das sind begehrte Nutzernamen in sozialen Netzwerken. Begehrt, weil sie kurz sind, wie @m oder @mm, oder weil sie nur aus einem markanten Wort bestehen wie @vampir oder @gott. Meist gehören diese Nutzernamen jedoch schon jemand anderem. Um an sie zu kommen, muss der Account hinter dem Namen gehackt werden.

Mit dem ungewöhnlichen Angebot von Chaewon nahm seinen Anfang, was wenige Stunden später als «grösster Twitter-Hack aller Zeiten» bezeichnet wurde. Denn nur kurze Zeit nach dem Post wurden reihenweise Accounts äusserst prominenter Twitter-Nutzer übernommen, darunter die von Ex-US-Präsident Barack Obama, dem aktuellen Bewerber Joe Biden oder den Konzerngründern Jeff Bezos und Bill Gates.

Von deren Accounts schickten die Hacker die Aufforderung in die Welt, ihnen Bitcoins zu schicken. Den Betrag versprachen die vermeintlichen Berühmtheiten zu verdoppeln und dann zurückzuschicken. Ein eigentlich durchschaubarer Betrugsversuch, dennoch überwiesen Hunderte Twitter-Nutzer kleinere Beträge auf das angegebene Konto, insgesamt rund 100'000 Euro.

Der Aufruf der Hacker, ihnen Bitcoins zu schicken, der auf dem Account von Barack Obama veröffentlicht wurde.
Der Aufruf der Hacker, ihnen Bitcoins zu schicken, der auf dem Account von Barack Obama veröffentlicht wurde.
Foto: Screenshot Twitter

Für Twitter war der Hack ausgesprochen peinlich. Dass in einem US-Wahljahr einem Mitarbeiter der Zugang zum mächtigen Administratoren-Programm abhandenkommt, mit dem jeder Account übernommen werden kann, wirft ein schlechtes Licht auf die Sicherheit der Plattform.

Zwei Wochen nach dem Hack nahm die Polizei in Florida zwei Verdächtige fest: den Teenager Graham C. und den etwas älteren Nima F., beide US-Bürger, ausserdem verdächtigt wird der Brite Mason S. Der Schlüssel für den Fall lag im Forum OG-Users.

FBI bekommt Hilfe von Hackern

Normalerweise brauchen Ermittler Monate, um Internetkriminalität aufzuklären. Warum es in diesem Fall deutlich schneller ging, zeigen die veröffentlichten Haftbegründungen für zwei der Verdächtigen. Geholfen hatten den Ermittlern ausgerechnet andere Hacker. Bereits am 2. April 2020 teilten die Betreiber von OG-Users ihren Nutzern mit, dass jemand ihre eigenen Systeme geknackt hatte. Nur wenige Tage später wurde in einem anderen Forum der gestohlene Datensatz veröffentlicht: Nutzernamen, E-Mail-Adressen, IP-Adressen, sogar ganze Chatverläufe der rund 200'000 Mitglieder von OG-Users.

Digitale Forensik gleicht meist einem Puzzle mit vielen Teilen. Ermittler starten oft nur mit einem Nutzernamen in einem sozialen Netzwerk. Um die reale Person dahinter zu finden, müssen viele Auskunftsersuchen gestellt, IP-Adressen und Bitcoin-Konten zurückverfolgt werden. Wenn die Kriminellen keine Fehler gemacht haben, war die ganze Arbeit umsonst. Im Fall des Twitter-Hacks lagen alle notwendigen Daten bereits in der gehackten Datenbank von OG-Users, von der im April auch das FBI eine Kopie angefertigt hatte. Das Puzzle hatte deutlich weniger Teile.

Im Fall des Verdächtigen Chaewon liess es sich so zusammensetzen: Über die gehackte Datenbank des Forums fanden die Ermittler heraus, dass Chaewon im Februar über eine in England gelistete IP-Adresse, eine Art Anschrift im Internet, das Forum besucht hatte. Dieselbe Adresse wurde vorher von einem anderen Nutzer namens «Mas» verwendet. Die Theorie der Ermittler: Chaewon war der neue Account von Mas. Und in diesem älteren Konto war eine Googlemail-Adresse hinterlegt – ein Hauptpreis für die Ermittler. Vermutlich hätte das FBI mit etwas Aufwand auch von Google Zugriff auf den Inhalt des Mail-Accounts bekommen können und dort Hinweise auf Mas' Identität, doch der «Hacker» lieferte ihnen diese Info durch seine Veröffentlichung quasi frei Haus.

Bitcoin weniger anonym als gedacht

Bitcoin-Transaktionen sind zwar eigentlich anonym, sie sind jedoch zugleich öffentlich einsehbar. In dem Moment, in dem das Digitalgeld in Euro oder Dollar umgetauscht oder für eine Zahlung bei einem Online-Händler verwendet wird, kann die Anonymität dahin sein. So auch in diesem Fall. Die Googlemail-Adresse des Hackers war bei einem der Bitcoin-Konten, der Kryptowährungsbörse Binance, hinterlegt, auf denen das Geld für die gehackten Twitter-Accounts landete. Dort lagerte auch der Führerschein des Verdächtigen, komplett mit Foto und vollem Namen: Mason S. Im Fall von Graham C. und Nima F. gingen die Ermittler ähnlich vor.

Der «grösste Twitter-Hack aller Zeiten» war also der Versuch von drei Jung-Hackern, ein bisschen Geld im Internet zu verdienen. Dabei gingen sie vergleichsweise gedankenlos vor. Dass sie vom Hack des bei ihren Beutezügen genutzten Forums nichts mitbekommen haben sollen, ist schwer vorstellbar, vermutlich hatten sie es einfach vergessen. Professionelle Hacker hätten spätestens zu diesem Zeitpunkt eine andere Plattform gesucht, oder zumindest alle Spuren zu ihren alten Identitäten verwischt.