Ein Programmierer aus Palo Alto, Kalifornien, berichtet, seinen Twitter-Account an einen Erpresser verloren zu haben. Geiseln waren: Die anderen Online-Accounts und Webseiten des Programmierers. Naoki Hiroshima, der den begehrten Twitter-Namen @N seit 2007 besaß, bekam schon mehrmals Angebote, seinen Account zu verkaufen. Bis zu 50.000 Dollar wurden ihm sogar dafür geboten. Auch Versuche, seine Zugangsdaten zu knacken, waren nicht selten, an die Aufforderungen zum erneuten Passwortwechsel hatte er sich bereits gewöhnt.

Dieses Mal war es jedoch ein wenig anders. Der Hacker erlangte Zugriff auf Hiroshimas Account bei GoDaddy – einem Webhoster – und somit auf seine E-Mail-Adresse. Hiroshima wandte sich zunächst an GoDaddy, wo ihm jedoch nicht geholfen wurde, da er nicht mehr als rechtmäßiger Eigentümer identifiziert werden konnte.

Schon bald erhielt Hiroshima eine Anfrage von dem Hacker, ob er willens sei, den Zugriff auf all seine Domains und Benutzerkonten gegen den Twitter-Account zu tauschen. Hiroshima willigte ein und ist jetzt unter @N_is_stolen zu erreichen.

Außerdem fragte er den Hacker noch, wie dieser Zugriff auf das GoDaddy-Konto erhalten hatte. Die Lösung? PayPal. Der Angreifer rief dort an und überzeugte den Callcenter-Agenten, die letzten vier Kreditkartenziffern herauszugeben. Daraufhin rief er bei GoDaddy an und gab an, dass er die Karte verloren hätte, sich jedoch an die letzten vier Ziffern erinnern könne. Es wurde ihm gestattet, die ersten zwei Ziffern der Kartennummer zu erraten. Dies reichte dann offensichtlich aus, um seine Identität zu bestätigen. Im Anschluss daran änderte der Hacker sofort das Passwort und diverse andere Informationen, sodass Hiroshima sich darauf nicht mehr berufen konnte.

Mit dem Zugriff auf die E-Mail-Adresse knackte er nun verschiedene andere Online-Konten, da diese meist nur eine Reset-Mail versenden. Nur den PayPal-Account konnte er nicht knacken, da dieser immerhin eine zweischrittige Authentifizierung verlangt.

Am meisten schockiert wohl der laxe Umgang mit Kreditkarteninformationen bei PayPal und auch die Tatsache, dass vier Ziffern und ein bisschen Raten bei GoDaddy ausreichten.

Weh dem, der seine Kreditkartendaten bei PayPal hinterlegt hat. PayPal zieht sich zwar selbst das sichere Mäntelchen an, die Praxis offenbarte aber schon manchmal einen bedenklichen Umgang. Eine Lösung: Es gibt bei PayPal auch die Möglichkeit einer Vorauszahlung per Banküberweisung. Das ist zwar unbequem, aber dafür sicher gegen das Ausspionieren von Kreditkartennummern.

Artikel von theregister.co.uk, 30.01.2014: Developer’s rare $50,000 Twitter account @N stolen in web shakedown
Artikel von arstechnica.com, 29.01.2014: How I lost my $50,000 Twitter username