#StateSponsoredActors und Twitter: Überwiegend Aktivisten als Ziel

Wir hatten mehrfach über die Opfer eines staatlichen Hackerangriffs auf Twitter berichtet, die eine E-Mail bekamen, die sie über den Angriff informierte. Unterdessen hat sich eine ganze Reihe von Betroffenen angesammelt, derzeit sind auf der Liste 43 Personen.

Insgesamt dürften aber mehr Menschen betroffen sein, da sich aus naheliegenden Gründen nicht alle Opfer des Hackerangriffs in die Liste eingetragen haben oder sie von dem Hashtag #StateSponsoredActors vielleicht gar nichts mitbekommen haben. Wir können momentan von bestätigten 49 Personen ausgehen. Diejenigen davon, die öffentlich über die E-Mail-Warnung gesprochen haben, haben wir uns näher angesehen.

Sind Aktivisten besonders betroffen?

state sponsors actors
Man kann es auch mit Humor nehmen.

Wir haben die Twitter-Angaben der Betroffenen durchgesehen, um ein wenig darüber rauszufinden, ob sich Muster finden lassen. Die Angaben sind natürlich mit Vorsicht zu genießen, denn sie müssen ja nicht stimmen.

Wir haben geographische Angaben und die Reichweite betrachtet sowie die verwendeten Sprachen und ob der Account-Besitzer als Aktivist erkennbar ist. Nach Durchsicht der Twitter-Accounts ist das Ergebnis:

  • 18 Accounts sind ohne Ortsangabe, 25 mit geographischen Angaben,
  • 7 Sprachen wurden verwendet (englisch, italienisch, deutsch, französisch, hindi, spanisch, russisch),
  • 28 sind als Aktivisten erkennbar, wenn man den Begriff weit auslegt,
  • 29 haben wenig verbreitete Accounts (unter 1.000 Follower) und 13 mit mittlerer Anzahl an Followern (über 1.000) sowie der weithin bekannte Account von @thegrugq (über 40.000 Follower).

Die angegebenen Orte sind (teilweise mehrfach) Berlin, Brüssel, Halle, Kingston, Lyon, Minneapolis, Paris, Seattle, Stuttgart, Toronto, Washington, Wien, Winnipeg sowie Ungarn, Deutschland, Südkorea, die Niederlande und die Schweiz als Staaten.

Über die Hälfte der Betroffenen geben von sich an, aktivistisch tätig zu sein, was wohl eine deutlich höhere Quote an Aktivisten als der Twitter-Schnitt sein dürfte. Man kann also mit Sicherheit sagen, dass der staatliche Angreifer überwiegend Aktivisten als Ziel ausgewählt hat, die weitgehend aus westlichen Ländern stammen und denen man wohl nicht mehr zu erklären braucht, warum es sinnvoll ist, Twitter oder ähnliche Dienste über Tor zu nutzen. Insgesamt liegt ein politischer Hintergrund also nahe.

Sollte der staatliche Angreifer in den Vereinigten Staaten zu suchen sein, so wurde in der Vergangenheit in anderem Zusammenhang durchaus über Kooperationsbereitschaft von Twitter berichtet:

Twitter has been very cooperative, and that cooperation has grown.

Twitter hat aber bisher keine Angaben dazu gemacht, aus welchem Land die Angreifer stammen und inwiefern die Angriffe, auf die sich die Warnungen an die Nutzer beziehen, sicher staatlichen Stellen zuzuordnen sind. Aber dass sie dafür nicht mindestens handfeste Anhaltspunkte haben, ist ausgesprochen unwahrscheinlich. Denn dass die E-Mail-Warnungen öffentlich werden, wird dem Twitter-Team klar gewesen sein. Da schießt man wohl nicht aus der Hüfte, wenn man sich nicht hinlänglich sicher ist.

Falls weitere Accounts dazukommen, bitte gern in den Kommentaren anmerken.

8 Ergänzungen

  1. @ Constanze

    Interessanterweise ist Jacob Appelbaum aka ioerror nicht unter den „Gücklichen“. Was könnte das bedeuten? Hast Du eine Idee?

    1. Ich denke, dass kann alles oder nicht bedeuten. Neben Jake fallen mir eine Reihe weiterer Accounts ein, die vermutlich nicht betroffen sind, jedoch nach landläufiger Meinung betroffen sein sollten.

      Die erste Frage, die sich stellt, ist, welcher Staat dahinter steckt. Viele gehen reflexartig von der NSA/den USA aus. Aber könnte es nicht auch der chinesische/russische/deutsche/kolumbianische/nigerianische/etc. Staat sein? Welches Motiv könnte der Staat gehabt haben?

      Ich kann mir auch gut vorstellen, dass sich jemand ein neues »Hackingtool« kaufte oder entwickelte und nun einen Testlauf machte. Dabei suchte sich die Software aufgrund irgendwelcher Kriterien (Wie ist eigentlich die Schnittmenge der Follower/Gefollowten der betroffenen Accounts?) Accounts raus und fuhr das Angriffsprogramm ab.

      Daneben lassen sich noch ein paar weitere plausible Szenarien entwerfen. Vielleicht sollten wir uns mal auf dem 32C3 zusammensetzen (evtl. auch virtuell) und brainstormen.

  2. Das Privacy-Handbuch meint:

    https://www.privacy-handbuch.de/diskussion.htm

    Einige Twitter Nutzer haben in der letzten Woche eine E-Mail von Twitter erhalten, dass ein vermutlich staatlicher Angreifer versuchte, Zugriff auf die Account Details zu erlangen. Qbi und Analist waren beispielsweise betroffen und sind beunruhigt. Ein paar kleine Gedanken:

    Es gibt keine Privatsphäre bei Twitter, fast alles ist irgendwie öffentlich, es ist eine moderne Form vom „Geschrei auf dem Marktplatz der Eitelkeiten“. Wer Twitter nutzt, sollte sich darüber klar sein.
    Twitter hat 2014 die kostenpflichtigen API-Schnittstellen geändert. Eine Abfrage der E-Mail Adressen der Nutzer und weiterer Daten wie mit der API von 2009 ist seit 2014 nicht mehr möglich. Der staatliche Angreifer hat also keine Möglichkeit mehr, diese Daten durch Bezahlung zu erhalten. (Danke für den Hinweis)
    Twitter kooperiert nicht im Rahmen des PRISM Programms mit US-amerikanischen Geheimdiensten. Das DHS hatte bisher für 360.000 Dollar pro Jahr die API-Schnittstelle genutzt, wie jeder andere zahlende Kunde. Da über diese API die gewünschten Daten nicht mehr geliefert werden, kann man auch die US-Dienste nicht mehr prinzipiell als Angreifer ausschließen.
    Spekulationen über das Ziel des Angriffs anhand der betroffenen Personen sind sinnlos, weil ein Angreifer nicht nur die eigentlichen Targets angreifen wird, sondern ein paar mehr Personen, um die Zielstellung des Angriffs zu verschleiern oder in eine falsche Richtung zu lenken. Jene Opfer des Angriffs, die wirklich Grund zur Beunruhigung haben, werden vermutlich schweigen. Der Rest sind wahrscheinlich Cover-Targets.

    1. traditionel ist das eben der linke ueberwachungsbereich der immer mit rot, links, kommunismus, anarchie, gruene, alternative, hacker aktivisten aber auch terror wie RAF PLO AD ETA. IRA USW assoziiert gleichgesetzt wird dafuer gibt es immer ein unfassbares interesse.
      ermittlungen auf der rechten seite ist unfassbar selten, den rechts bedeutet bei vielen – trotz millionen von toten trotz terror NSU – ordnung
      also die Frage nach dem warum :
      paris >aktivist>punkt
      das reicht heute schon

  3. @Constanze:

    Bitte zettele NIE wieder so einen Flamewar an, wie bei dem Artikel über Alvars Meinungen. Da haben sich bis jetzt 171 (!) Comments angesammelt. Nicht zum aushalten, das alles lesen zu müssen. Puh! Ich habe gelacht, geweint, gebrüllt und gebannt geschwiegen – dieser Thread dort war krasses Kino. Also sollte ich Dir vielleicht doch danken? ;-)

  4. Meint Ihr dieses „Ihr Twitter Account wurde gehackt“ Mail, das ich als Spam einfach gelöscht habe?
    Falls ja, dann könnt Ihr @HieronymusCH in Eurer Statistik dazu zählen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.