Der Twitter-Wurm: "Don't Click" - sic!
Auf Twitter war ein Datenschädling unterwegs, der sich durch die Neugier der User innerhalb kürzester Zeit tausendfach verbreiten konnte - dabei hieß die Botschaft doch: "Don't Click".
Twitter ist nicht nur ein Kommunikationsdienst, über den man in 140 Zeichen seinen aktuellen Status, seine Gefühlslage oder irgendeine andere Botschaft an einen ständig größer werdenden Kreis von Lesern vermitteln kann. Das populäre Web 2.0-Angebot dient längst auch der schnellen Verbreitung interessanter Links ins Netz - egal ob es nun um eine wichtige Nachricht oder das neueste Posting im eigenen Weblog geht. Geklickt wird dabei schnell.
Dass das auch daneben gehen kann, zeigte ein Wurm, der sich am Donnerstagabend rasant auf der Plattform verbreitete. Die entsprechende Twitter-Botschaft lautete dabei schlicht "Don't Click" - klicke mich nicht. Neugierige Nutzer taten das natürlich trotzdem und tappten prompt in die Falle. Sie landeten auf einer Website, auf der nichts weiter als ein Knopf mit der gleichen Aufschrift zu finden war. Nach dem Klick passierte scheinbar nichts. Erst später merkten Betroffene, dass sie selbst in ihrem Twitter-Ausgang die Botschaft "Don't Click" mit passendem Link verbreitet hatten - obwohl sie sich an eine entsprechende Eingabe nicht erinnern konnten.
Des Rätsels Lösung: Der Klick auf den "Don't Click"-Knopf löste ein verdecktes Twitter-Formular aus, über das wiederum die Botschaft erneut verbreitet wurde: Der Wurm kam in Gang. Der Autor des Datenschädlings nutzte dazu einen Trick namens "Clickjacking" ("Klick-Entführung"). Dabei wird ein Formular, beispielsweise das einer Online-Bank, in eine andere Seite hineingeladen. Ein Knopf wird dann so platziert, dass dieser das Formular überdeckt. Klickt man dann diesen Knopf, wird nicht etwa das getan, was er verspricht, sondern das darunterliegende Formular aktiviert. Genauso war es bei "Don't Click": Twitter-Nutzer schickten die Botschaft weiter, ohne es zu sehen. Es reichte aus, mit seinem Browser bei Twitter eingeloggt zu sein, damit das funktionierte.
Dabei hatten die betroffenen Twitter-Nutzer noch Glück: Der Wurm löschte nicht etwa Daten oder manipulierte ihren Zugang, sondern verbreitete sich einfach nur tausendfach weiter - besonders populäre "Twitteratis" mit vielen Hundert Lesern halfen dabei. Der Spuk war erst vorbei, als die Administratoren des Kommunikationsdienstes auf den Datenschädling aufmerksam wurden: Sie blockierten die böswillige Website für das Nachladen von Twitter-Funktionen, so dass das Klicken wirkungslos wurde. Seither ist Ruhe mit "Don't Click". "Zum Glück war der Schaden nur auf die ständige Wiederholung des Links beschränkt", hieß es dazu im offiziellen Weblog, "wir nehmen solche böswilligen Angriffe auf Twitter aber sehr ernst".
Ein anderes Twitter-Sicherheitsproblem wurde jedoch erst nach Jahren behoben: Die notwendige Weitergabe des Passworts für den Dienst, wenn man populäre Zusatzanwendungen nutzen wollte. Wer etwa mit "TweetLater" automatisierte Updates losschicken oder mit "Tweetwhatyoueat" seine Diät der Welt vortragen wollte, musste den Anbietern dieser Websites vollen Zugriff auf seinen Account geben, weil es technisch nicht anders ging. Seit dieser Woche können Ersteller von Twitter-Programmen nun auch eine andere Methode nutzen, das so genannte "OAuth"-Protokoll. Dabei wird einer Anwendung ein gewollter Zugriff auf den Account eines Nutzers gewährt, doch dieser muss nicht mehr sein Passwort verraten, die Authentifizierung erfolgt sicherer.
Aktuell befindet sich die neue Funktion in einem geschlossenen Betatest, der in rund vier Wochen abgeschlossen sein soll. Ab dann können Twitter-Programmierer Anwendungen schreiben, die "OAuth" nutzen. Die Betreiber des Kommunikationsdienstes, der inzwischen fast 6 Millionen Mitglieder haben soll, die regelmäßig über ihre aktuelle Lebenslage berichten, erhoffen sich so insgesamt mehr Sicherheit und einen besseren Schutz der Privatsphäre. Erst kürzlich war es bei Twitter zu einem Phishing-Vorfall gekommen, bei dem Online-Gauner versuchten, Passwörter abzufangen. Sie hatten offenbar vor, den Dienst für die Verbreitung wirklich gefährlicher Datenschädlinge zu verwenden.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!