Wir haben heute nichts über den #Hackerangriff berichtet, aber trotzdem den halben Tag darüber nachgedacht. Einige unserer Gedanken wollen wir trotzdem hier mit euch teilen. Auch, weil wir das Gefühl haben, da geht gerade ganz schön viel drunter und drüber. 1/27

Zunächst mal zur Frage, was da überhaupt passiert ist. Das wissen wir auch nicht, aber Formulierungen wie „Hacker-Angriff“, „Millionen Datensätze“ oder "hunderte Politiker und Prominente geleaked“ scheinen uns nicht sehr genau zu sein. Bei einem „Angriff“ geht jmd. zu einem 2/27

bestimmten Zeitpunkt auf ein konkretes Ziel. So sieht das hier nicht aus. „Millionen Datensätze“ führt auch in die Irre. Es handelt sich um keine Datenbank. Die Daten haben keinerlei Systematik. Sie scheinen vielmehr ziemlich ungeordnet zusammengesammelt zu sein. 3/27

Und „hunderte Politiker geleaked“ ist ebenfalls Quatsch: nur weil viele Namen darin auftauchen, wurden die nicht alle gehackt. Was ist also passiert? Natürlich wissen wir das im Moment auch noch nicht. Einige Ansätze scheinen aber logischer, andere unlogischer. 4/27

Zunächst mal zu den Daten: Wir haben im Prinzip vier Gruppen: 1. Kontaktdaten (Handynummern, Mailadressen etc.) 2. Chats und private Nachrichten. 3. Mails. 4. Dateien (PDFs, Fotos und Videos).  5/27

Zu 1. (Kontakte): Die könnten aus einem oder wenigen Adressbüchern stammen. Dafür spricht, dass nicht für alle Personen/Gruppen gleichermaßen Daten vorhanden sind. So gibt es z.B. von vielen betroffenen Journalisten Handynummern, aber bei weitem nicht von allen Politikern. 6/27

Zu 2. (Chats): Diese stammen i.d.R. aus den Profilen sozialer Netzwerke und liegen als Archiv vor. Deutet darauf hin, dass sich jmd. Zugang zum Profil verschafft hat (unten mehr) und danach einmal die Downloadfunktion für private Daten von Facebook oder Twitter genutzt hat. 7/27

Zu 3. (Mails): Viele der veröffentlichten Mails sehen so aus, als ob Sie aus „Outlook“ stammen. Auch hier scheint weniger wahrscheinlich, dass einzelne Mailkonten geknackt wurden. Wahrscheinlicher ist, dass jmd. Zugang zu einzelnen Geräten (Handys, Laptops) bekommen hat und 8/27

danach über die Download-Funktion von Outlook einige Mails als Mail-Archiv gesammelt heruntergeladen hat. Zu 4. (Dateien): Hier findet sich alles Mögliche. PDFs, Scans von Kontoauszügen, Bilder und Videos, auch privates und sensibles Material. 9/27

Auch diese Daten können aus den o.g. heruntergeladenen Daten sozialer Netzwerke (2.) stammen, oder aus Mailanhängen (3.) Dass jemand in einen Rechner eindringt, dann dort wahllos einige PDFs herunterlädt und wieder geht, ist unwahrscheinlich. 10/27

Wahrscheinlicher ist, dass alles aus mehreren Quellen zusammengesammelt wurde:
a) Manche der Dokumente sind alt. Vielleicht schon vor Jahren anderweitig erbeutet, seitdem auf irgendwelchen Servern, in Foren, im Dark Web verteilt und hier jetzt einfach mit hinzugefügt. 11/27

b) Natürlich könnte auch irgendwo ein/e Mitarbeiter/in oder sonst wer unvorsichtig gewesen sein. Ein Virus, ein unbedachter Link, oder direkter Kontakt zu dem oder den Hacker/n. Dann hatte/n der/die Hacker evtl. eine Zeitlang Zugang zu 1 Gerät mit einigen der Daten darauf. 12/27

c) Auch denkbar, dass der/die Hacker eine Lücke (s.u.) in der sog. „2-Faktor-Authentifizierung“ nutze/n, um Zugang zu einem Gerät zu bekommen. Damit hätte derjenige: Adressbuch, Mailzugang und Zugang zu sozialen Netzwerken. Erstmal nur von 1 Person, aber: 13/27

er hat nun deren Kontakte. Danach hat er die gleiche Masche bei allen Kontakten und Nummern probiert, die auf diesem Gerät lagen. Bei manchen klappte es, bei anderen nicht. Dort, wo es klappte, dasselbe Spiel wieder - und hätte sich so von Gerät zu Gerät „hangeln“ können. 14/27

Auch wenn von Kreditkarten und Ausweisen die Rede ist, muss das nicht zwingend einen „großen Hackerangriff“ bedeuten. Beispiel: Jemand wollte einen Mietwagen nutzen, bat per Facebook-Chat eine Mitarbeiterin darum, den zu buchen – und schickte 15/27

Fotos von Führerschein, Ausweis und Kreditkarte per Chat oder als Mailanhang zu. Ja, solche sensiblen Daten (Kinderfotos, Kontoauszüge, Kreditkarten, Ausweise) sind Teil des Leaks. Aber sie sind eher selten, vereinzelt und nicht die Regel. 16/27

Es ist mitnichten so, dass von jedem Namen, der dort auftaucht, derartig sensible Daten veröffentlicht wurden – im Gegenteil: Der Großteil der Informationen ist sehr belanglos, sehr unwichtig und oft auch sehr alt. Die Daten sind mitunter schon anderswo öffentlich gewesen. 17/27

Sie stammen offenbar nicht aus Netzwerken von Behörden oder politischen Institutionen, sondern wie schon erwähnt aus Cloudspeichern, Mailanhängen oder sozialen Netzwerken. Kommen wir zu den Verdächtigen: Was wissen wir über den oder die Hacker? Wenig bis nichts. 18/27

Was aber auffällt: Es wurde sich viel Mühe gegeben, die Daten nicht so einfach löschbar zu machen. Sie wurden auf Dutzenden Seiten gespiegelt, etliche Downloadlinks bereitgestellt. Hinter manchen Links verbergen sich Texte, in denen wieder neue Links sind. Eher ungewöhnlich 19/28

Ebenfalls auffällig: Das Ganze sieht nicht sehr gleichförmig aus. Mal ist kein Passwort nötig, um Daten zu öffnen, mal lautet es „123“, mal ist es ein Name, mal eine Abkürzung. Auch wurden die Überschriften in den einzelnen Blöcken nicht einheitlich gestaltet. 20/27

Das könnte darauf hindeuten, dass mehrere Personen die Veröffentlichung unter sich aufgeteilt haben. Auch die Tatsache, dass hier Hunderte, Tausende einzelne Dateien auf etliche Seiten hochgeladen, verteilt und dann untereinander verlinkt wurden, um dann in einer Art 21/27

Adventskalender nach und nach veröffentlicht zu werden, macht es unwahrscheinlich, dass das jemand alleine war. Es sei denn, derjenige hat sehr viel Zeit. Mit @_0rbit and @_0rbiter wurden außerdem zwei Accounts verwendet. Die Accounts sind nicht neu. 22/27

@_0rbit @_0rbiter Sie haben auch Bots als Follower, aber nicht nur. Ziemliche viele der Follower stammen aus dem Dunstkreis von Gamern, YouTubern und rechten Ideologien, manche aus Bereichen, die oft als „Sifftwitter“ oder „Alt right“ bezeichnet werden. 23/27

@_0rbit @_0rbiter Die ersten Veröffentlichungen im Dez nahm niemand wahr. Aufmerksamkeit bekam das Ganze vermutlich erst, als die Personen hinter diesen beiden Accounts den Account @unge geknackt hatten. Auch das könnte über die erwähnte Lücke in der 2-Faktor-Authentifizierung passiert sein. 24/27

@_0rbit @_0rbiter @unge Dass hier Rechte am Werk waren, ist unbewiesen. Ja, die Accounts haben viele rechte Follower. Das sagt aber wenig über die Leute, die da agiert haben. Ebenfalls unwahrscheinlicher erscheint uns, dass es eine der berühmten Hacker-Gruppen (z.B. Turla) waren.  25/27

@_0rbit @_0rbiter @unge Die stehlen Daten und sind dann weg. An Öffentlichkeit und Trubel sind die eher nicht interessiert. Offen auch die Frage, warum die AfD nicht Teil des Leaks ist. Mögliche Antworten: 26/27

@_0rbit @_0rbiter @unge Zufall. Oder es kommt noch eine weitere Veröffentlichung. Oder die Akteure verfolgen eine Agenda. Keiner weiß es. Jetzt aber schon anzunehmen, das folge einem Plan, ist bestenfalls Phantasie – eine Grundlage dafür gibt es nicht. Im folgenden Links zu Quellen und Hinweisen. 27/27

@_0rbit @_0rbiter @unge Wir freuen uns SEHR über Korrekturen, Hinweise und Feedback.

Hier mehr zum angesprochenen Problem mit der Zwei-Faktor-Authentifizierung:

motherboard.vice.com/en_us/article/…

@_0rbit @_0rbiter @unge Was man über die beiden Twitter-Accounts so rausfinden kann (und was noch nicht), hat @luca dargestellt:

https://twitter.com/luca/status/1081170465660522496

@_0rbit @_0rbiter @unge @luca Einige Auffälligkeiten zur Art und Weise, wie die Daten veröffentlicht wurden, stehen hier:

https://twitter.com/thegrugq/status/1081191019993915392

@_0rbit @_0rbiter @unge @luca Zu angeblichem Bezug zu Rechtsextremen:
tagesspiegel.de/politik/newsbl…
und

https://twitter.com/zeitonline/status/1081166126250364928

@_0rbit @_0rbiter @unge @luca Zur Frage, ob "XX Betroffene" auch gleich bedeutet, dass es "XX Gehackte" gibt:

https://twitter.com/raeuberhose/status/1081139226840887296

/*me