© Reuters. DATEIFOTO: Das „X“-Logo ist am 30. Juli 2023 oben auf dem Hauptsitz der Messaging-Plattform X, früher bekannt als Twitter, in der Innenstadt von San Francisco, Kalifornien, USA, zu sehen. REUTERS/Carlos Barria/Archivfoto
Von Zeba Siddiqui und Raphael Satter
SAN FRANCISCO/WASHINGTON (Reuters) – Der Hack des offiziellen Kontos der US-Börsenaufsichtsbehörde Securities and Exchange Commission auf X am Dienstag erneuerte Bedenken hinsichtlich der Sicherheit der Social-Media-Plattform seit ihrer Übernahme durch den Milliardär Elon Musk im Jahr 2022.
Die Hacker veröffentlichten falsche Nachrichten über eine mit Spannung erwartete Ankündigung der SEC zu Bitcoin, was den Preis der Kryptowährung in die Höhe schnellen ließ und Beobachter alarmierte. In dem falschen Beitrag auf @SECGov hieß es, die Wertpapieraufsichtsbehörde habe börsengehandelte Fonds zum Halten von Bitcoin zugelassen. Die SEC löschte den Beitrag etwa 30 Minuten nach seinem Erscheinen.
X bestätigte später am Dienstag nach einer vorläufigen Untersuchung, dass das Konto der SEC kompromittiert wurde, weil eine nicht identifizierte Person über einen Dritten die Kontrolle über eine mit dem Konto verknüpfte Telefonnummer erlangte.
Die Social-Media-Plattform teilte in einem Beitrag außerdem mit, dass die SEC zum Zeitpunkt der Kompromittierung des Kontos keine Zwei-Faktor-Authentifizierung aktiviert hatte.
Während X sagte, die Kompromittierung sei nicht auf einen Verstoß gegen die Systeme der Plattform zurückzuführen, bezeichneten Sicherheitsanalysten den Vorfall als besorgniserregend.
„So etwas in der Art, bei dem man das SEC-Konto übernehmen und möglicherweise den Wert von Bitcoin auf dem Markt beeinflussen kann – das bietet enorme Möglichkeiten für Desinformation“, sagte Austin Berglas, ein ehemaliger Cybersicherheitsbeamter im New Yorker Büro des FBI und leitender Angestellter bei die Sicherheitsfirma BlueVoyant.
Konten auf X, früher bekannt als Twitter, können wie auf jeder anderen Social-Media-Plattform gekapert werden, indem Passwörter gestohlen oder Opfer dazu verleitet werden, ihre Anmeldedaten preiszugeben. Konten können auch übernommen werden, indem die Sicherheit von lange bevor er Twitter kaufte.
Ein SEC-Sprecher sagte am Dienstag, der „unberechtigte Zugriff“ einer „unbekannten Partei“ auf sein Konto sei widerrufen worden und die Agentur arbeite mit den Strafverfolgungsbehörden und anderen in der Regierung zusammen, um die Angelegenheit zu untersuchen.
SICHERHEITSPROBLEME
Allerdings war Twitter bereits vor der Übernahme durch Musk und der Namensänderung in X Gegenstand anhaltender Sicherheitsprobleme.
Die Verhaftung eines saudischen Agenten im Jahr 2019, der das Backend der Website heimlich nach persönlichen Informationen über die Dissidenten des Königreichs durchsucht hatte, gab Anlass zu Bedenken hinsichtlich der internen Sicherheitsmaßnahmen von Twitter.
Die Massenentführung von Top-Konten durch den Teenager aus Florida im darauffolgenden Jahr verstärkte die Besorgnis, und das Finanzministerium des Staates New York tadelte das Unternehmen, weil es einem „einfachen“ Hack zum Opfer gefallen sei. Im Jahr 2022 wandte sich Twitters ehemaliger Sicherheitschef Peiter Zatko öffentlich gegen das Unternehmen, bevor es von Musk übernommen wurde, und warf ihm eine ganze Reihe von Sicherheitsmängeln vor, die seiner Meinung nach die nationale Sicherheit gefährdeten.
Musk hat die Sicherheit des Unternehmens seit dem Kauf von Twitter im Oktober 2022 angepriesen, aber ehemalige Mitarbeiter sagen, dass sich die Lage seitdem verschlechtert hat. Musk ordnete nach dem Kauf der Social-Media-Plattform eine Kürzung des physischen Sicherheitsbudgets von . Rosa behauptet, er sei entlassen worden, als er Einwände gegen die Maßnahmen erhob.
Ein ehemaliger Twitter-Manager, der sich weigerte, namentlich genannt zu werden, sagte, dass der Schutz prominenter Konten wie der von Regierungsbeamten dort vor der Übernahme von Musk ein Hauptaugenmerk gewesen sei und Warnungen bei mutmaßlichen Hacks mit schnellen Reaktionsmaßnahmen beinhaltet habe, aber Mitarbeiter, die daran gearbeitet hätten Bemühung waren Teil eines „Wahlintegritäts“-Teams, das letztes Jahr Entlassungen hinnehmen musste.
Anfang letzten Jahres schränkte X die Möglichkeit nicht zahlender Benutzer ein, die Zwei-Faktor-Authentifizierung, eine wichtige Sicherheitsmaßnahme, zu implementieren. Auf der Website von
Es ist unklar, ob auf der SEC-Website eine solche Sicherheit vorhanden war. Wenn nicht, könnten Hacker das Konto mithilfe eines alten geleakten Passworts übernommen haben, sagte Berglas.
„Jedes Mal, wenn man eine Sicherheitsfunktion in einer Plattform reduziert, die das tut, was X tut, ist das unglaublich besorgniserregend“, fügte er hinzu.