Sorry!


Entschuldigung! Aber wir müssen unsere Follower bei Twitter wohl um Verzeihung bitten… Wahrscheinlich kam es um den 29.09.2013 zu Spam-Versand in unserem Namen.

Twitter-Panne 2

Ein derartiges Feedback ist uns zwar (zum Glück) nicht zugegangen, trotzdem ist uns aber leider zumindest ein Fall bekannt, in dem am 29.09. eine Twitter-Direktnachricht mit einem Link zu einer schädlichen Website über den HBZ-Twitter-Account abgesetzt wurde. Natürlich hat HBZ Branse den Versand dieser Mitteilung nicht initiiert!

Twitter-Panne 2

Return-Path: <b097718779dinfo=XXXXXXXXXXX@bounce.twitter.com>
Delivery-Date: Sun, 29 Sep 2013 13:54:22 +0200
Received-SPF: pass (mxeu1: domain of bounce.twitter.com designates 199.59.148.231 as permitted sender) client-ip=199.59.148.231; envelope-from=b097718779dinfo= XXXXXXXXXXX@bounce.twitter.com; helo=ham-cannon.twitter.com;
Received: from ham-cannon.twitter.com (ham-cannon.twitter.com [199.59.148.231])                 by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis)

HBZ-Branse.de @hbz_branse_de
I advise this site  =E2=80=A6
29. Sep 13 11:54 vorm
.

Eine Überprüfung des Absenders ergab folgendes:

General IP Information
IP:                         199.59.148.231
Decimal:                    3342570727
Hostname:                   ham-cannon.twitter.com
ISP:                        Twitter
Organization:               Twitter
Services:                   None detected
Type:                       Corporate
Assignment:                 Static IP
Geolocation Information
Country:                    United States
State/Region:               California
City:                       San Francisco
Latitude:                   37.7697  (37° 46’ 10.92” N)
Longitude:                  -122.3933  (122° 23’ 35.88” W)
Area Code:                  415
Postal Code:                94107

Da sich der Versender als Twitter und somit als authentisch herausstellte, bleibt eigentlich nur noch die Möglichkeit, daß sich jemand Zugriff auf unseren Account verschafft hat. Obwohl wir ein „starkes“ bzw. komplexes Paßwort (Länge, kein Wörterbuch-Eintrag, Klein- und Großbuchstaben, Ziffern, Sonderzeichen) benutzt hatten, war es einem Hacker irgendwie gelungen, sich dieses zu verschaffen, wobei wir aber die Möglichkeit eines installierten Keyloggers auf dem Rechner, über den der Account betreut wird, ausschließen können. Er muß es also per Brute Force geschafft haben, was allerdings mit Sicherheit Twitter aufgefallen wäre und andererseits höchstens von einem ganzen Rechnerverbund in annehmbarer Zeit zu schaffen gewesen wäre.

Interessanterweise hatten wir (höchstwahrscheinlich vor „unserem“ Spamversand) selbst eine solch dubiose Nachricht bei Twitter erhalten. Allerdings  haben wir den Link aber weder geöffnet, noch zu der Zeit überhaupt zur Kenntnis genommen. Die Nachricht fiel erst heute auf, da die entsprechende E-Mail-Benachrichtigung dafür ausgeschaltet war und heute im Zusammenhang mit dem Spam-Versand geprüft wurde, ob – und wenn ja, welche – Nachrichten sich dort angesammelt haben.

Twitter-Panne 3

Welcher URL wurde hier verbreitet?

http://210.172.48.53/com/_www.youtube.com_index.html?kitowafisivo=52549846&lugonyr=14115

Und das war der Link in unserer Spam-Nachricht:

http://necklaceall.com/pages/www.facebook.com_page_.html?afozinu=93147462&vehatu=88448

In beiden Fällen ist der URL identisch aufgebaut. Ein Unterordner (zumindest scheinbar), dann die Adresse einer bekannten Site, an die gleich eine HTML-Seite angehängt wurde – und das alles wird ergänzt mit einem Querystring, der aus 2 Wertepaaren besteht. Zufall? Nein, eher eine ganze Welle. Immerhin war „unsere“ Spam-Website bei Twitter bekannt, man hat ihr sogar eigens eine Warnung gewidmet:

Twitter-Panne 4

Kann es sein, daß sich irgendwas bei Twitter durchs System frißt? Zumal weder in unserem Account noch im Account des uns bekannten Empfängers „unseres“ Spams die Nachricht zu finden war. Hat der Hacker etwa nach dem Versand aufgeräumt?

Apps scheinen prinzipiell in der Lage zu sein, Direktnachrichten zu verschicken. Zumindest soll man sie verdächtigen, wenn man sich auf einmal selbst Nachrichten schickt:

Wenn du DMs (Direktnachrichten) von dir selbst erhältst:
Bitte führe folgende Maßnahmen durch:
1) Wenn Du eingeloggt bist, besuche den Applikationen-Tab in deinen Einstellungen. Widerrufe den Zugriff für jede Drittapplikation, die Du nicht erkennst.

2) Wenn du dieses Problem immer noch hast, nachdem du den Zugriff unerwünschter Applikationen widerrufen hast, oder du dieses Verhalten nicht erwartet hast, als Du diese Verbindung zugelassen hast, kontaktiere uns.

Diese Aussage ist so zumindest auf der Seite https://support.twitter.com/articles/161379-direktnachrichten-dms-senden-und-loschen# zu finden.

Nun ja, wir haben auch einigen Apps Zugriffsrechte gewährt. Allerdings handelt es sich dabei nicht um Apps von dubiosen Wald- und Wiesen-Anbietern, sondern um Applikationen großer, bekannter Seitenbetreiber. Falls diese aber in irgend einer Form kompromittiert wurden, hätten Hacker somit evtl. ein Einfallstor für zahlreiche Twitter-Seiten gefunden…

Was genau am 29.09. abgelaufen ist, wird wohl nur Twitter anhand der Logs ermitteln können.

Daher haben wir vorsichtshalber das Paßwort nochmals verstärkt, was Twitter anfangs irgendwie gar nicht witzig fand:

Twitter-Panne 5

Eigentlich hätte es nämlich sofort so aussehen sollen:

Twitter-Panne 6

Jedenfalls werden wir in Zukunft die Twitter-Aktivitäten etwas stärker im Auge behalten.

Hinweis: Sofern es sich nicht um Antworten auf Anfragen, die wir über diesen Kanal erhalten, handelt, versenden wir auch in Zukunft definitiv keinerlei Direktnachrichten bei bzw. über Twitter!

Es tut uns leid, falls Sie zu denjenigen gehörten, die diesen Spam von uns erhalten haben und vielleicht sogar dadurch Unannehmlichkeiten hatten.

Die Kommentarfunktion ist geschlossen.