Facebook und Twitter Account hacken

So könnte dein Facebook oder Twitter Account übernommen werden

Ich möchte dir heute zeigen wie einfach es für potentielle Angreifer ist deinen Facebook oder Twitter Account zu übernehmen. Neben den beiden genannten Diensten könnte mit der hier gezeigte Methode aber auch jeder andere deiner Online Accounts einfach übernommen werden.

E-Mail Adressen finden

Alles was ich dazu brauche ist eine Liste mit E-Mail Adressen. Solche Listen tauchen im Internet immer mal wieder auf, wenn Services gehackt werden. Ich kann aber auch einfach mit Google nach Listen von E-Mail Adressen suchen (Stichwort: Google Dorks). Hier müssen Webmaster nur einmal unvorsichtig sein, wenn es darum geht E-Mail Adressen aus beispielsweise Newsletter Anmeldungen sicher zu speichern.

Ich habe in meinem letzten PHP Tutorial bereits gezeigt, wie man prüfen kann, ob eine E-Mail Adresse gültig und erreichbar ist. Nutzen wir dieses Wissen so können wir auch die Adressen herausfiltern, die nicht mehr erreichbar sind, weil der Mail Anbieter diese deaktiviert bzw. gelöscht hat.

Freenet.de beispielsweise  deaktiviert FreeMail Adressen, wenn der Nutzer sich 180 Tage nicht eingeloggt hat. Nach nur 360 Tagen wird die Adresse dann endgültig gelöscht und kann von anderen Nutzern wieder verwendet werden.

Haben wir solche Adressen aus einer Liste von E-Mail Adressen herausgefiltert, so kann es auch schon losgehen.

Der Einfachheit halber, konzentriere ich mich für diesen Beitrag – wie bereits angedeutet – einfach mal auf den Mail Anbieter freenet.de.

Dazu habe ich ein PHP Skript geschrieben, das mir alle gelöschten freenet.de E-Mail Adressen heraussucht. Nachfolgend ein Auszug aus einer Liste mit Adressen, die demnach nicht mehr erreichbar sind:

Ich wähle nun zufällig eine Adresse aus und prüfe bei Twitter und Facebook, ob diese dort einem Account zugeordnet ist.

Facebook

Screenshot: Facebook
Screenshot: Facebook

Treffer, die ausgewählte E-Mail Adresse ist bei Facebook hinterlegt. Schauen wir uns nun einmal an wie es bei Twitter aussieht.

Twitter

Screenshot: Twitter
Screenshot: Twitter

Auch hier wurde die gewählt E-Mail Adresse genutzt, um einen Account zu registrieren.

Okay, wir wissen nun, dass die E-Mail Adresse, die wir zufällig ausgewählt haben, einem Facebook und einem Twitter Account zugeordnet ist und dass diese E-Mail Adresse bei freenet.de wieder frei verfügbar ist.

Weiter geht’s!

Freenet

Wir nutzen nun den FreeMail Dienst von freenet.de und holen uns die wieder frei gewordene E-Mail Adresse:

Screenshot: Freenet
Screenshot: Freenet

Das hat also schonmal geklappt. Wir haben jetzt Zugriff auf den Mail Account, der bei Facebook und Twitter hinterlegt ist.

Passwörter zurücksetzen

Nun müssen wir nur noch dafür sorgen, dass wir auch Zugriff auf diese beiden Account bekommen. Dafür gibt es ja glücklicherweise die Passwort vergessen Funktion:

Screenshot: Facebook Passwort vergessen
Screenshot: Facebook Passwort vergessen
Screenshot: Twitter Passwort vergessen
Screenshot: Twitter Passwort vergessen

Würden wir in die oben gezeigten Dialoge nun die entsprechende E-Mail Adresse eingeben, so würde der entsprechende Dienst eine E-Mail mit Link für die Zurücksetzung des jeweiligen Passworts an die E-Mail Adresse schicken auf die wir ja jetzt Zugriff haben.

Tada! Wir hätten nun Zugriff auf den Facebook und den Twitter Account der lieben Susanne. Was mit Susanne’s Accounts geht, funktioniert genauso einfach auch mit deinen Accounts!

Fazit

Da ich hier nur zeigen möchte wie einfach es ist Online Account zu übernehmen, habe ich das ganze Szenario natürlich nicht bis zum Ende durchgespielt. Potentielle Angreifer könnten das aber ganz einfach machen.

Wer sich gegen solche Angriffe schützen möchte, sollte ein paar Regeln beachten:

  1. Die eigene E-Mail Adresse nur bei ausgewählten bzw. vertrauenswürdigen Diensten hinterlegen (so würde die eigene E-Mail Adresse nicht in öffentlichen Listen auftauchen)
  2. Jeweils eine E-Mail Adresse für wichtige und unwichtige Dienste nutzen (SPAM Mail Adresse)
  3. Ungenutze Online Accounts rechtzeitig löschen
  4. Die E-Mail Adresse bei Online Diensten immer aktuell halten (Susanne hat bei Facebook z.B. zwei E-Mail Adressen hinterlegt, eine davon nutzt sich offensichtlich überhaupt nicht mehr)

Es ist mir wichtig an dieser Stelle klarzustellen, dass ich hier nicht dazu aufforden möchte beliebige Accounts zu hacken. Ich möchte euch lediglich dafür sensibilisieren wie einfach es ist Accounts zu übernehmen und euch zeigen, wie man sich am besten dagegen schützen kann.

Bild: Flickr / mightyohm

Veröffentlicht von

Michael

Webentwickler & SEO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *