Twitter-Alternative Gab erneut gehackt – wohl noch mehr Daten abgegriffen

Die vor allem bei Rechten und Rechtsextremen beliebte Twitteralternative Gab hat nach dem jüngsten Hack offenbar nicht alle nötigen Gegenmaßnahmen ergriffen und so wurde mindestens Gab-Chef Andrew Torba erneut Opfer eines Hackerangriffs. Das geht aus einem Eintrag von Torba hervor, den er veröffentlichte, nachdem dessen Account offensichtlich gekapert und Gab daraufhin für Stunden offline gegangen war. Der Gab-Gründer gesteht darin ein, dass bei dem vorigen Hack auch Inhaber-Token (Bearer Token) von OAuth2 abgegriffen wurden, mit denen nun Statusmeldungen gepostet werden konnten. Warum die nicht zurückgesetzt wurden, erklärt er nicht. Beobachter weisen darauf hin, dass der ursprüngliche Hack also noch größer gewesen sein könnte, als bislang bekannt.

Riesiger Hack womöglich noch größer

Wie ArsTechnica nun rekonstruiert, war unter dem Profil Torbas am Montag eine Nachricht veröffentlicht worden, die angeblich von dem Hacker stammte, der jüngst 70 Gigabyte an Gab-Daten erbeutet hatte. Der behauptet in dem Statuseintrag, dass er über mehr als 800 Dokumente verfügt, die zum Nachweis der Identität von Nutzern an das Netzwerk geschickt worden waren – also etwa Ausweiskopien. Die habe er nicht weitergegeben und stattdessen von Torba 8 Bitcoin (etwa 360.000 Euro) für die Rückgabe verlangt. Aus den Ausweisfotos hat er demnach Collagen erstellt, eine wurde eingebunden. Nach der Veröffentlichung des Eintrags wurde Gab kurzerhand offline genommen. Als das Netzwerk zurückkam, hatte Torba den Hack unter anderem mit den Worten heruntergespielt: "Es gibt keinen Grund eure Passwörter zu ändern oder irgendetwas anderes zu unternehmen."

Gab war 2016 von Andrew Torba gegründet worden, der das Netzwerk als einen Hort für die freie Meinungsäußerung ohne Grenzen bezeichnete. Kritiker monieren schon länger, dass die auf dem Portal gewährte Redefreiheit oft in Hassrede und Terrorpropaganda umgeschlagen sei. Ende Februar hatte das Leak-Kollektiv Distributed Denial of Secrets (DDoSecrets) bekannt gemacht, dass ein anonymer Hacktivist 70 Gigabyte an Daten erbeutet und weitergegeben habe. Dabei handle es sich um "so ziemlich alles", hatte es geheißen. Dass darunter aber auch die OAuth2-Token waren, sei nun überraschend gekommen, schreibt ArsTechnica. Gab hatte die wohl nicht zurückgesetzt, woraufhin sich der Hacker gegenüber Gab unter anderem als Torba ausgeben konnte.

Unprofessioneller Umgang mit Hack

Die Episode um den Statuseintrag von Torba könnte nun bedeuten, dass das gesamte Ausmaß des Hacks doch noch einmal größer ist, als bislang angenommen. Troy Hunt von Have I Been Pwned, der inzwischen Einblick in die Daten von DDoSecrets hatte, weist darauf hin, dass Gab womöglich gar nicht gewusst habe, dass diese Token abgegriffen wurden. Zumindest sei Gab bislang nicht darauf eingegangen. Außerdem habe die Seite den Nutzern und Nutzerinnen immer noch keine Passwortänderung vorgeschrieben, das sei aber Standard nach solch einem Hack. In einer Analyse der Daten hat Hunt unter anderem auch auf transphobe und christlich-fundamentalistische Äußerungen von Torba hingewiesen, denen man bei der Beschäftigung mit Gab nicht entkommen könne.

(mho)