Twitter-HackDrei Jahre Haft für Teenager aus Florida

Für einen Hacker-Angriff auf Twitter muss ein Teenager ins Gefängnis. Der Betrüger verschaffte sich Zugang zu 130 Konten, um an Bitcoins zu gelangen. Betroffen war reichweitenstarke Prominenz mit Millionen Follower:innen.

Der Drahtzieher des Twitter-Hacks wandert hinter Gitter. Gemeinfrei-ähnlich freigegeben durch unsplash.com Cameron Raynes

Graham C., die Schlüsselfigur hinter einem Twitter-Hack, muss für drei Jahre in Jugendhaft. Am Dienstag legte der 18-jährige ein Geständnis vor den US-Behörden in Florida ab. Zum Zeitpunkt der Tat war Graham C. erst 17 Jahre alt und damit minderjährig. Das Gericht hat ihn für die illegale Übernahme von prominenten und verifizierten Twitter-Konten verurteilt.

Über die gekaperten Konten setzte er individuell angepasste Tweets ab, die ahnungslose Nutzer:innen zur Zahlung von Bitcoins aufforderten. Das Schema war so simpel wie effizient: Wer eine bestimmte Summe an Bitcoins bezahlt, sollte vom Kontoinhaber angeblich die doppelte Menge zurückbekommen. Auf diese Weise hat der Täter rund 120.000 US-Dollar erbeutet. Betroffen waren sowohl Konten von Einzelpersonen wie Barack Obama, Kanye West und Bill Gates, als auch von Unternehmen wie Apple oder Coinbase, einer Handelsplattform für Kryptowährungen.

Bereits zwei Wochen nach dem Angriff ist die Justiz dem Hacker über IP-Adressen, Bitcoin-Konten und einer belastenden Aussage auf die Schliche gekommen. Neben Graham C. hat die Polizei zwei weitere Männer im Alter von 19 und 22 Jahren festgenommen, die den Minderjährigen damals unterstützt haben sollen und ebenfalls verklagt wurden.

Zugang über Twitterteam

Twitter teilte nach dem Hack mit, dass eine Reihe an Mitarbeiter:innen dem sogenannten „Social Engineering“ zum Opfer fiel. Die Angreifer seien über die Ausnutzung menschlicher Schwächen an Login-Daten für interne Firmensysteme wie Admin-Panels gelangt und haben so Zugang zu den betroffenen Konten erhalten. Im Rahmen von Social Engineering-Angriffen geben sich Kriminelle beispielsweise als Techniker:innen oder Spezialist:innen für IT-Sicherheit von großen Unternehmen aus, um sich sensible Informationen zu beschaffen. Motherboard berichtete dagegen von einem Twitter-Angestellten, der den Hackern gegen Bezahlung half.

Obwohl durch den Hack ein beträchtlicher finanzieller Schaden entstand, hielten sich die sicherheitspolitischen Auswirkungen in Grenzen. Immerhin könnten durch die Nutzung einflussreicher und verifizierter Twitter-Konten zwischenstaatliche Konflikte befeuert und folgenschwere Kommunikationsangriffe betrieben werden.

Auch für Graham C. hätte es noch schlimmer ausgehen können: Er entgeht einer Verurteilung nach Erwachsenenstrafrecht, weil er mit den Behörden kooperierte.

Eine Ergänzung

  1. Zitat: „Auch für Graham C. hätte es noch schlimmer ausgehen können: Er entgeht einer Verurteilung nach Erwachsenenstrafrecht, weil er mit den Behörden kooperierte.“

    Das wäre in Deutschland natürlich ziemlich undenkbar. Die Einstufung in Jungend- und Erwachsenenstrafrecht erfolgt hier ausschliesslich über das Alter (und zwischen 18 und 21 Jahren nach „persönlicher Reife und Entwicklung“) – aber niemals über die Kooperationsbereitschaft eines Angeklagten.
    Es handelt sich dabei wohl um die weit verbreitete Methode des „charge‐​stacking“, wobei ein Staatsanwalt eine vielzahl verschiedener, idR übertriebener Anschuldigungen aufhäuft – wovon viele vor Gericht nicht haltbar wären -, um den Angeklagten so zur Kooperation bzw. zu einem Geständnis einer kleineren Zahl weniger schwerwiegender „Kern“-Anklagen zu zwingen. Es ist bekannt, dass damit auch oft falsche Geständnisse erzwungen werden, vor allem bei People-of-Color die sich keinen Anwalt leisten können/wollen (ja, man bekommt auch in den USA einen Verteidiger per Gesetz – aber man muss diesen dann trotzdem am Ende selbst bezahlen!).

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.