Domain Mayday EP03: Die Twitter-Bitcoin-Kontoübernahme 2020
Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.
- domains
- security
- dns
- domain-security
Für ein paar Stunden an einem Mittwochnachmittag sagten die vertrauenswürdigsten Stimmen im Internet plötzlich alle dasselbe: Schick mir Bitcoin, und ich schicke dir das Doppelte zurück.
Barack Obama sagte es. Joe Biden sagte es. Elon Musk sagte es. Bill Gates, Jeff Bezos, Kanye West, Apple, Uber — die mit blauem Haken verifizierten Konten, denen Hunderte von Millionen Menschen vertrauen gelernt hatten, posteten alle denselben plumpen Krypto-Betrug, fast Wort für Wort. Keiner dieser Menschen hatte auch nur ein einziges Zeichen eingegeben. Ihre Konten taten es, weil jemand anderes die Schlüssel in der Hand hielt.
Dies ist Domain Mayday EP03. Die ersten beiden Episoden handelten von Namen — wer sie besitzt, wer sie nehmen kann. Diese hier stellt dieselbe Frage in anderem Gewand. Ein Twitter-Handle, ein verifiziertes Abzeichen, ein Domainname: Jedes ist ein Identitätsanspruch, dem wir anderen auf Treu und Glauben vertrauen. Und am 15. Juli 2020 bewiesen Angreifer, wie wenig es braucht, um diesen Anspruch zu kapern — nicht mit Malware oder einem Zero-Day, sondern mit einem Telefonanruf.
Das Vertrauen, das in einem Handle steckt
Ein verifiziertes Konto ist eine Vertrauensabkürzung. Wenn @BarackObama etwas postet, prüft man nicht erneut, ob er es wirklich ist; der Handle plus das Abzeichen ist die Verifikation. Diese Abkürzung ist enorm wertvoll — und enorm zerbrechlich, denn das gesamte Vertrauen konzentriert sich auf das Konto, während die Kontrolle über das Konto ganz woanders liegen kann.
Das ist dieselbe Struktur wie bei einem Domainnamen. whitehouse.gov wird vertraut, nicht weil jeder Besucher die Zertifikatskette prüft, sondern weil der Name selbst Autorität trägt. Wer diesen Namen kontrolliert — beim Registrar, im DNS, im Admin-Panel — erbt sofort all das Vertrauen, das Menschen in ihn investiert haben, egal ob er ihm je gehörte.
Der Twitter-Hack von 2020 ist die klarste Demonstration dieser Lücke zwischen Vertrauen und Kontrolle, die wir haben. New Yorks Finanzaufsicht, die ermittelte, weil regulierte Krypto-Unternehmen zu den Opfern zählten, sagte es unverblümt: Der Angriff war "eine Warnung vor dem außerordentlichen Schaden, den selbst unsophistizierte Cyberkriminelle anrichten können."
15. Juli 2020: die Übernahme
Es geschah schnell und am helllichten Tag. Laut der Wikipedia-Rekonstruktion wurden "am 15. Juli 2020 zwischen 20:00 und 22:00 UTC 130 hochkarätige Twitter-Konten kompromittiert."
Der Bericht des New York Department of Financial Services (DFS) legt die Choreographie dar. Die Angreifer wärmten sich zunächst mit Krypto auf: "Die Hacker manipulierten zuerst Twitter-Konten, die mit bekannten Kryptowährungsunternehmen und -personen verbunden waren," und platzierten Direktnachrichten und Tweets, die auf eine Bitcoin-Wallet verwiesen. Dann erhöhten sie den Einsatz: "Die Hacker erhöhten daraufhin den Einsatz erheblich und zielten auf verifizierte Twitter-Konten mit Millionen von Followern."
Die Liste der Betroffenen liest sich wie die Gästeliste der vertrauenswürdigsten Konten der Plattform. Wikipedia vermerkt, dass die "angeblich kompromittierten Konten solche bekannter Persönlichkeiten wie Barack Obama, Joe Biden, Bill Gates, Jeff Bezos...und Unternehmen wie Apple, Uber und Cash App umfassten."
Die Nachricht war identisch und absurd einfach. Vom Konto von Apple, wie von Wikipedia festgehalten: "Wir geben etwas an unsere Community zurück. Wir unterstützen Bitcoin und glauben, dass ihr das auch solltet! Alle Bitcoin, die an unsere Adressen gesendet werden, werden verdoppelt zurückgeschickt!" Dasselbe Angebot, wiederholt durch Dutzende der glaubwürdigsten Stimmen der Welt auf einmal.
Nicht jedes Konto wurde genutzt. Von den 130 berührten Konten stellte der Regulator fest: "Insgesamt wurden während des Twitter-Hacks 130 Twitter-Nutzerkonten kompromittiert. Davon wurden 45 Konten zum Versenden von Tweets genutzt." Fünfundvierzig Megafone waren mehr als genug.
Was tatsächlich verloren ging
In reinen Dollar-Beträgen war die Beute klein. Der DFS-Bericht stellt fest, dass "Hacker durch den Twitter-Hack Bitcoin im Wert von etwa 118.000 US-Dollar stahlen." Wikipedia vermerkt, dass eine einzelne Betrugs-Wallet "über 320 Einzahlungen mit einem Wert von über 110.000 US-Dollar erhielt, bevor die Betrugsnachrichten entfernt wurden." Für einen Einbruch dieses Ausmaßes sind 118.000 US-Dollar fast peinlich bescheiden.
Aber die Dollarzahl unterschätzt den Verlust erheblich. Was an jenem Nachmittag tatsächlich fiel, war die Integrität des verifizierten Handles als Vertrauenssignal. Zwei Stunden lang bewies ein blauer Haken nichts. Die gesamte Identitätsschicht der Plattform — das, was einen glauben ließ, ein Tweet komme von der Person, deren Name draufstand — war nachweislich und gleichzeitig von einem Teenager kontrollierbar. Twitters Reaktion war bezeichnend: Das Unternehmen fror vorübergehend die Möglichkeit vieler verifizierter Konten ein, überhaupt zu twittern. Der einzige Weg, die vertrauenswürdigen Konten daran zu hindern, zu lügen, war, sie zum Schweigen zu bringen.
Das ist der wahre Preis einer Identitätsübernahme. Das Geld ist eine Fußnote. Der Schaden besteht darin, dass "dieses Konto = diese Person" aufhört, wahr zu sein, und alle Nachgelagerten, die sich auf diese Gleichung verlassen haben, exponiert werden.
Wie es geschah: ein Telefonanruf, dann ein Admin-Panel
Es gab keinen Exploit. Der DFS-Bericht ist eindeutig: "Der Twitter-Hack beinhaltete keine der High-Tech- oder anspruchsvollen Techniken, die bei Cyberangriffen häufig eingesetzt werden – keine Malware, keine Exploits und keine Backdoors." Stattdessen "nutzten die Hacker grundlegende Techniken, die eher denen eines traditionellen Betrügers ähneln: Telefonanrufe, bei denen sie vorgaben, von der IT-Abteilung von Twitter zu sein."
Dies ist Vishing — Voice-Phishing. Die Angreifer "riefen mehrere Twitter-Mitarbeiter an und behaupteten, vom Help Desk in Twitters IT-Abteilung zu sein," und "behaupteten, sie würden auf ein gemeldetes Problem des Mitarbeiters mit Twitters Virtual Private Network reagieren." Twitter selbst bezeichnete es später als "telefonischen Spear-Phishing-Angriff", der auf "einen erheblichen und konzertierten Versuch stützte, bestimmte Mitarbeiter irrezuführen und menschliche Schwachstellen auszunutzen."
Das Überzeugungsmittel war Recherche, keine technische Fähigkeit. Wie der Sicherheitsjournalist Brian Krebs dokumentierte, stützten sich die Angreifer auf Profildaten — Namen, Rollen, persönliche Details, die von LinkedIn und früheren Datenlecks stammten — um wie echte Kollegen zu klingen. Sobald ein Mitarbeiter dem Anrufer glaubte, übergab er Anmeldedaten, und die Anmeldedaten öffneten die Tür zum Hauptgewinn: Twitters internes Kontoverwaltungs-Tool.
Dieses Tool ist der Kern der gesamten Geschichte. Krebs berichtete, dass "in Twitters Admin-Tools offenbar die E-Mail-Adresse eines beliebigen Twitter-Nutzers aktualisiert werden kann" — die E-Mail ändern, einen Passwort-Reset auslösen, und das Konto gehört einem, Abzeichen und alles. Der DFS-Bericht zeigt das strukturelle Versagen auf, das einen geknackten Mitarbeiter so katastrophal machte: "Twitter hatte zwar den Zugang zu den internen Tools eingeschränkt, aber über 1.000 Twitter-Mitarbeiter hatten noch immer Zugang dazu." Über tausend Personen hielten einen Hauptschlüssel zu jeder Identität auf der Plattform, und das Unternehmen hatte keinen Chief Information Security Officer, der darüber wachte — Twitter "hatte seit Dezember 2019, sieben Monate vor dem Twitter-Hack, keinen Chief Information Security Officer ('CISO') mehr."
Darunter lag auch ein Marktplatz. Bevor der Promi-Betrug losging, war die Gruppe damit beschäftigt, gestohlene kurze "OG"-Handles zu verkaufen. Krebs stellte fest, dass vor dem Obama/Biden/Musk/Gates-Blast "mehrere äußerst begehrte kurzzeichige Twitter-Kontonamen die Besitzer wechselten," denn in dieser Community "verleihen kurzzeichige Profilnamen ein Maß an Status und Wohlstand" und "können beim Wiederverkauf oft Tausende von Dollar einbringen." Namen mit Seltenheitswert, gestohlen und auf einem Forum weiterverkauft — ein Muster, das jeder Domain-Investor sofort erkennen wird.
Das Nachspiel und die Verhaftungen
Die Auflösung erfolgte fast genauso schnell wie der Hack. Innerhalb von zwei Wochen handelten die Staatsanwälte. Krebs berichtete über die Anklagen: "Mason 'Chaewon' Sheppard, ein 19-Jähriger aus Bognor Regis, Großbritannien, wurde in Kalifornien wegen Verschwörung zum Betrug mittels Datenübertragung, Geldwäsche und unbefugtem Zugang zu einem Computer angeklagt," und "Nima 'Rolex' Fazeli, ein 22-Jähriger aus Orlando, Florida, wurde in einer Strafklage in Nordkalifornien wegen Beihilfe zum vorsätzlichen Zugang zu einem geschützten Computer angeklagt."
Aber der mutmaßliche Anführer war noch jünger. "Der 17-jährige Graham Clark aus Tampa, Florida, gehörte zu den Angeklagten im Twitter-Hack vom 15. Juli," und als Minderjähriger wurde er vom Staatsanwalt Floridas statt von einem Bundesgericht angeklagt. Ihm "wurden 30 Verbrechen vorgeworfen, darunter organisierter Betrug und Kommunikationsbetrug."
Im folgenden März einigte sich Clark auf einen Deal. CyberScoop berichtete, er "habe zugegeben, hinter einem Plan zu stehen, bei dem er mehr als 117.000 US-Dollar gestohlen hatte, indem er die Twitter-Konten zahlreicher Persönlichkeiten des öffentlichen Lebens übernahm." Der öffentliche Radiosender WUSF berichtete über das Urteil: "drei Jahre in einer Jugendhaftanstalt, gefolgt von drei Jahren Bewährung," was laut dem Sender "das nach dem Jugendstraftätergesetz des Bundesstaates maximal Zulässige war."
Eine vierte Person tauchte später auf. Wikipedia vermerkt, dass "im April 2023 der 23-jährige Joseph James O'Connor, ein britischer Staatsbürger mit dem Online-Handle PlugwalkJoe, aus Spanien nach New York ausgeliefert wurde, um sich dort Anklagen zu stellen," und er wurde später zu fünf Jahren Bundesgefängnis verurteilt.
Was das über die Kontrolle von Online-Identitäten lehrt
Zieht man die Promisnamen und die Kryptowährung ab, ist der Twitter-Hack von 2020 eine reine Lektion über den Unterschied zwischen dem Haben einer Identität und dem Kontrollieren einer Identität. Einige Grundsätze lassen sich daraus ableiten:
-
Vertrauen akkumuliert sich auf dem Namen; Kontrolle lebt im Hinterzimmer. Hunderte von Millionen Menschen vertrauten
@BarackObama. Dieses Vertrauen schützte das Konto nicht, weil die Kontrolloberfläche des Kontos ein internes Admin-Panel war, das über tausend Mitarbeiter erreichen konnten. Wer das Hinterzimmer kontrolliert, kontrolliert die Identität, egal wessen Name vorne draufsteht. -
Das schwächste Glied ist fast nie die Kryptografie. Kein Exploit, keine Malware, keine Backdoor — nur ein überzeugender Telefonanruf. Identitätssysteme versagen auf der menschlichen und Prozessebene weitaus häufiger als auf der mathematischen Ebene. Ein perfektes Schloss an einer Tür, die jeder hilfsbereite Mitarbeiter auf Anfrage öffnet, ist kein Schloss.
-
Ein einzelner totaler Kontrollpunkt ist ein einzelner totaler Ausfallpunkt. Ein einziges wiederverwendbares internes Tool, das die E-Mail bei jedem Konto ändern konnte, bedeutete, dass ein kompromittierter Mitarbeiter einer plattformweiten Übernahme gleichkam. Konzentrierte, reversible, undurchsichtige Kontrolle ist die Schwachstelle.
-
Seltene Namen sind Ziele. Dieselbe Gruppe, die Präsidenten entführte, verkaufte auch still und leise kurze "OG"-Handles für Tausende von Dollar. Wertvolle Namen ziehen Diebstahl an, und der Wert eines Namens ist genau das, was seine Kontrolle stehlenswert macht.
-
Die Wiederherstellung sollte nicht von der Gnade der Plattform abhängen. Als die vertrauenswürdigen Konten anfingen zu lügen, war Twitters einziger Hebel, sie einzufrieren. Identitätsinhaber hatten keine unabhängige Möglichkeit zu beweisen "das bin wirklich ich" oder die Kontrolle zurückzugewinnen — sie waren vollständig von den internen Tools und dem guten Willen eines zentralisierten Betreibers abhängig.
Der Namefi-Blickwinkel
Ein Domainname ist eine Online-Identität mit genau derselben Lücke zwischen Vertrauen und Kontrolle, die Twitters verifizierte Handles hatten — und oft mit demselben undurchsichtigen Hinterzimmer. Bei den meisten Domains lebt das "Eigentum" in einem Registrar-Konto, das durch ein Passwort und ein Support-Team geschützt ist. Ein überzeugender Telefonanruf, ein per Social Engineering manipulierter Support-Mitarbeiter, eine E-Mail-Änderung, die über ein internes Panel durchgeführt wird — das Drehbuch des Twitter-Hacks von 2020 lässt sich nahezu eins zu eins auf eine Registrar-Kontoübernahme übertragen. Das Vertrauen, das die Welt in Ihre Domain gesetzt hat, schützt sie nicht, wenn die Kontrolle über diese Domain hinter einem Help Desk liegt, der sich zu allem überreden lässt.
Namefi existiert, um diese Lücke zu schließen. Der Kerngedanke ist, dass die Kontrolle über eine Domain verifizierbar und beim Eigentümer liegen sollte, nicht als Einstellung in jemandem anderen Admin-Tool. Indem Namefi den Domain-Besitz als tokenisierten, on-chain gespeicherten Vermögenswert darstellt, der mit DNS kompatibel bleibt, macht es die Frage "Wer kontrolliert diesen Namen?" kryptografisch beantwortbar — nicht durch das Urteil eines Support-Mitarbeiters unter Druck. Es gibt kein einzelnes internes Panel, das tausend Mitarbeiter erreichen können, um Ihren Namen stillschweigend neu zuzuweisen; der Nachweis der Kontrolle liegt beim Eigentümer, und Übertragungen sind nachvollziehbar statt improvisiert.
Der Twitter-Hack von 2020 funktionierte, weil Identität und Kontrolle still und leise auseinandergedriftet waren — der Name sagte eine Sache, während ein verstecktes Admin-Tool eine andere entschied. Die Lektion für jeden, der auf einen Namen angewiesen ist: Kontrolle sollte genauso lesbar und eigentümergebunden sein wie das Vertrauen, das der Name trägt. Ein Handle, ein Abzeichen, eine Domain: Jedes ist nur so sicher wie das Hinterzimmer dahinter. Namefis Wette ist, dass das Hinterzimmer ein verifizierbares Ledger sein sollte, das Sie kontrollieren, keine Telefonleitung, die jemand anderes dazu bringen kann, etwas zu tun.
Quellen und weiterführende Lektüre
- New York Department of Financial Services — Twitter Investigation Report
- Wikipedia — 2020 Twitter account hijacking
- Krebs on Security — Who's Behind Wednesday's Epic Twitter Hack?
- Krebs on Security — Twitter Hacking for Profit and the LoLs
- Krebs on Security — Three Charged in July 15 Twitter Compromise
- CyberScoop — Twitter hacker pleads guilty, sentenced to 3 years
- WUSF — Tampa Twitter Hacker Sentenced To Three Years In Prison, Three Years Probation
- U.S. Department of Justice — Three Individuals Charged for Alleged Roles in Twitter Hack
- ABC News — Florida man who pleaded guilty to hacking Twitter as 17-year-old sentenced to 3 years
Über die Autor*innen
Verwandte Leitfäden
- Die 12-Dollar-Minute: Als jemand google.com stillschweigend kaufteIm September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.
- Domain Mayday EP05: Der Squarespace-DeFi-Domain-Massenraub 2024Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.
- Der BadgerDAO-Frontend-Angriff: 120 Millionen Dollar durch ein eingeschleustes Skript abgezogenIm Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.
- Der Bitcoin.org DNS-Hijack: Wie Bitcoins eigene Homepage zu einem „Verdoppele deine Coins"-Betrug wurdeIm September 2021 wurde Bitcoin.org — die langjährige Informationsheimat von Bitcoin, betrieben vom pseudonymen Operator Cobra — auf der DNS-Ebene gekapert und in ein gefälschtes „Verdoppele deine Bitcoin"-Gewinnspiel verwandelt, das Betrügern rund 17.000 US-Dollar einbrachte, bevor die Seite offline genommen wurde. Eine Domain-Mayday-Analyse darüber, was passierte, wie es geschah und was es selbst für kryptonative Seiten über ihre Abhängigkeit von DNS lehrt.