Immer dasselbe Passwort: Hacker hatten 2016 Zugriff auf Trumps Twitter-Account

Drei niederländischen Hackern ist es im Oktober 2016 – kurz vor der US-Präsidentschaftswahl – angeblich gelungen, in den Twitter-Account von Donald Trump einzubrechen. Das haben sie der Wochenzeitschrift Vrij Nederland erzählt, nachdem sie ihren Hack jahrelang geheim gehalten hatten. Und auch wenn sie dabei nach eigenen Angaben keinen Schaden angerichtet und umgehend US-Behörden informiert haben, so haben sie dabei doch einige beunruhigende Beobachtungen zum Umgang des später zum US-Präsidenten gewählten Unternehmers gemacht. Der benutzte demnach bis zu diesem Zeitpunkt in allen möglichen Online-Diensten dasselbe Passwort und änderte gegebenenfalls nur die damit verknüpfte E-Mail-Adresse.

"I quit, vote Hillary"

Wie die drei nur mit Vornamen identifizierten Männer nun öffentlich machen, fanden sie im Herbst 2016 Trumps – gehashtes – Passwort und eine zugehörige E-Mail-Adresse in der gigantischen Datenbank, die 2012 bei LinkedIn entwendet worden war und 2016 zum Download stand. Mit dem Passwort-Cracker John the Ripper hätten sie Trumps Passwort geknackt – "yourefired" (sein Spruch aus "The Apprentice"). Zwar konnten sie sich mit der Kombination nicht bei Twitter einloggen, aber der Kurznachrichtendienst habe darauf hingewiesen, dass das Passwort korrekt sei. Trump, der infolge des LinkedIn-Hacks selbst gehackt worden war, hatte danach nicht das Passwort, sondern nur die damit verknüpfte E-Mail-Adresse geändert. Mit "twitter@donaldjtrump.com" – und über einen Proxy-Server – seien sie dann hineingelangt.

Wie die drei nun erklären, hatten sie da schon längst Sorge, dass sie mit ihren Versuchen ins Visier von US-Geheimdiensten gelangt waren. Deshalb hätten sie unbedingt den Zugang erlangen und beweisen müssen, dass sie keine bösartigen Absichten hätten. In dem Account hätten sie dann trotzdem überlegt, ob sie "I quit, vote Hillary" twittern sollen, aber stattdessen Screenshots zur Dokumentation gemacht. Dann hätten sie ihr Wissen um das schwache Passwort an Trump gemailt, mit einer Kopie an das US-Heimatschutzministerium. Eine Reaktion sei nie erfolgt, aber später habe es Berichte gegeben, denen zufolge inzwischen "Assistenten" den Account steuerten. Außerdem habe der damalige US-Präsident Barack Obama erklärt, Trump habe ja nicht einmal die Kontrolle über seinen Twitter-Account.

Trump auch in Leak von Ashley Madison

Trotz einiger Sorgen, hatte die Angelegenheit für die drei angeblich nie irgendwelche Konsequenzen. Sie erzählen noch, dass sie Trumps Zugangsdaten für ein Microsoft-Konto sowie für die Onlinespiele Heroes of Newerth und Evony in geleakten Passwortlisten gefunden hätten. Neben den Zugangsdaten auch Kreditkartendaten hätten sich im Leak des Seitensprung-Portals Ashley Madison befunden. Mit ihrem Gang an die Öffentlichkeit wollen die drei Hacker nun unter anderem für verantwortungsbewusste Offenlegungen ("responsible disclosure") von Schwachstellen werben. Jemand anders hätte mit dem Zugang gehörigen Schaden anrichten können, meinen sie. Dass bei Trump beziehungsweise in seinem Team wohl ein Umdenken stattgefunden hat, deutet der drastische Twitter-Hack im Juli an. Donald Trumps Account war davon nicht betroffen.

(mho)