5167904

Der Twitter-Wurm: "Don't Click" - sic!

Auf Twitter war ein Datenschädling unterwegs, der sich durch die Neugier der User innerhalb kürzester Zeit tausendfach verbreiten konnte - dabei hieß die Botschaft doch: "Don't Click".

In eigener Sache. Bild: screenshot/twitter.com

Twitter ist nicht nur ein Kommunikationsdienst, über den man in 140 Zeichen seinen aktuellen Status, seine Gefühlslage oder irgendeine andere Botschaft an einen ständig größer werdenden Kreis von Lesern vermitteln kann. Das populäre Web 2.0-Angebot dient längst auch der schnellen Verbreitung interessanter Links ins Netz - egal ob es nun um eine wichtige Nachricht oder das neueste Posting im eigenen Weblog geht. Geklickt wird dabei schnell.

Dass das auch daneben gehen kann, zeigte ein Wurm, der sich am Donnerstagabend rasant auf der Plattform verbreitete. Die entsprechende Twitter-Botschaft lautete dabei schlicht "Don't Click" - klicke mich nicht. Neugierige Nutzer taten das natürlich trotzdem und tappten prompt in die Falle. Sie landeten auf einer Website, auf der nichts weiter als ein Knopf mit der gleichen Aufschrift zu finden war. Nach dem Klick passierte scheinbar nichts. Erst später merkten Betroffene, dass sie selbst in ihrem Twitter-Ausgang die Botschaft "Don't Click" mit passendem Link verbreitet hatten - obwohl sie sich an eine entsprechende Eingabe nicht erinnern konnten.

Des Rätsels Lösung: Der Klick auf den "Don't Click"-Knopf löste ein verdecktes Twitter-Formular aus, über das wiederum die Botschaft erneut verbreitet wurde: Der Wurm kam in Gang. Der Autor des Datenschädlings nutzte dazu einen Trick namens "Clickjacking" ("Klick-Entführung"). Dabei wird ein Formular, beispielsweise das einer Online-Bank, in eine andere Seite hineingeladen. Ein Knopf wird dann so platziert, dass dieser das Formular überdeckt. Klickt man dann diesen Knopf, wird nicht etwa das getan, was er verspricht, sondern das darunterliegende Formular aktiviert. Genauso war es bei "Don't Click": Twitter-Nutzer schickten die Botschaft weiter, ohne es zu sehen. Es reichte aus, mit seinem Browser bei Twitter eingeloggt zu sein, damit das funktionierte.

Dabei hatten die betroffenen Twitter-Nutzer noch Glück: Der Wurm löschte nicht etwa Daten oder manipulierte ihren Zugang, sondern verbreitete sich einfach nur tausendfach weiter - besonders populäre "Twitteratis" mit vielen Hundert Lesern halfen dabei. Der Spuk war erst vorbei, als die Administratoren des Kommunikationsdienstes auf den Datenschädling aufmerksam wurden: Sie blockierten die böswillige Website für das Nachladen von Twitter-Funktionen, so dass das Klicken wirkungslos wurde. Seither ist Ruhe mit "Don't Click". "Zum Glück war der Schaden nur auf die ständige Wiederholung des Links beschränkt", hieß es dazu im offiziellen Weblog, "wir nehmen solche böswilligen Angriffe auf Twitter aber sehr ernst".

Ein anderes Twitter-Sicherheitsproblem wurde jedoch erst nach Jahren behoben: Die notwendige Weitergabe des Passworts für den Dienst, wenn man populäre Zusatzanwendungen nutzen wollte. Wer etwa mit "TweetLater" automatisierte Updates losschicken oder mit "Tweetwhatyoueat" seine Diät der Welt vortragen wollte, musste den Anbietern dieser Websites vollen Zugriff auf seinen Account geben, weil es technisch nicht anders ging. Seit dieser Woche können Ersteller von Twitter-Programmen nun auch eine andere Methode nutzen, das so genannte "OAuth"-Protokoll. Dabei wird einer Anwendung ein gewollter Zugriff auf den Account eines Nutzers gewährt, doch dieser muss nicht mehr sein Passwort verraten, die Authentifizierung erfolgt sicherer.

Aktuell befindet sich die neue Funktion in einem geschlossenen Betatest, der in rund vier Wochen abgeschlossen sein soll. Ab dann können Twitter-Programmierer Anwendungen schreiben, die "OAuth" nutzen. Die Betreiber des Kommunikationsdienstes, der inzwischen fast 6 Millionen Mitglieder haben soll, die regelmäßig über ihre aktuelle Lebenslage berichten, erhoffen sich so insgesamt mehr Sicherheit und einen besseren Schutz der Privatsphäre. Erst kürzlich war es bei Twitter zu einem Phishing-Vorfall gekommen, bei dem Online-Gauner versuchten, Passwörter abzufangen. Sie hatten offenbar vor, den Dienst für die Verbreitung wirklich gefährlicher Datenschädlinge zu verwenden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein