Social Media Accounts von CENTCOM gehackt
Nein, es sind nicht die Zugangscodes zu den US-Atomwaffen, und doch ist es peinlich genug: Die Accounts des U.S. Central Command, CENTCOM, auf dem Kurznachrichtendienst Twitter und dem Videodienst Youtube wurden am Montagmittag (Ortszeit USA) gehackt. Auf beiden Social-Media-Kanälen erschienen Fotos von Vermummten mit einer Flagge, die dem des selbsternannten Islamischen Staates / ISIS zumindest ähnlich sieht. Auf Twitter wurden Links zu – offensichtlich nicht (mehr) eingestuften – Papieren zu Einsatzszenarien, auf Youtube ISIS-Videos eingestellt. 
Der Facebook-Account des CENTCOM war offensichtlich nicht betroffen. Das Twitter-Konto wurde nach gut einer Stunde erstmal komplett stillgelegt, der gekaperte Youtube-Account war noch eine Weile länger zu sehen.
Screenshots vom gehackten Twitter-Konto (ich war zu spät) gibt es bei der Washington Post zu sehen. Auf Twitter wurde allerdings auch schon darauf hingewiesen, das die Selbst-Bezeichnung der Hacker in dem Slogan i love you isis schon wahrscheinlich macht, dass eben nicht der Islamische Staat/ISIS dahinter steckt – weil die sich selbst nicht ISIS nennen.
Der Vorgang ist zwar so ähnlich wie beim kürzlichen Angriff auf deutsche Regierungswebseiten nichts, was das Funktionieren der (militärischen) Behörde CENTCOM gefährdet. Aber es ist nicht nur peinlich (wieso waren gleich beide Accounts offenbar so leicht zu hacken?), sondern hat darüber hinaus eine Wirkung: So ein Hack muss ja nicht immer so offensichtlich sein. Wäre der auch aufgefallen, wenn die bei Twitter das CENTCOM-Logo hätten stehen lassen, aber Falschmeldungen von abgeschossenen US-Kampfjets über ISIS-Gebiet veröffentlicht hätten?
Nachtrag: Ich hab’s ja nicht mehr sehen können, aber laut Stars&Stripes wurden via Twitter Kontaktdaten ranghoher Militärs veröffentlicht.
Nachtrag 2: Jetzt ist auch der Youtube-Account erst mal gesperrt:
Nachtrag 3: Screenshots der Twitter-Nachrichten und mehr Details bei TechCrunch. (Danke für den Leserhinweis!)
Nachtrag 4: Jetzt habe ich mir die publizierten Listen, die ja weiterhin im Netz kursieren, mal angeguckt. Nichts wirklich Aufregendes oder gar Geheimes – so Dinge wie Protokolle von Kongressanhörungen, interne Telefonbücher (ohne Privatadressen, -telefonummern, -mailadressen), eine Adressliste pensionierter Generale, bei denen viele keine Adresse für die Liste angegeben haben… Fetzt nicht.
Und zum Schluss: die Erklärung von CENTCOM:
US Central Command has put out this statement about its accounts getting hacked by ISIS supporters. pic.twitter.com/1pO83YANGV
— Paul Danahar (@pdanahar) January 12, 2015
Sind das die Kontaktdaten, die man auch über eine google-Suche finden würde, oder Adressen, die eigentlich nicht für die Öffentlichkeit bestimmt waren?
Das scheint nicht so ganz klar.
Also rein technisch ist mEn keine besondere Sicherung für Accounts möglich. Passwörter möglichst kompliziert und häufig wechseln, aber mit Brute Force kann man die „gut“ knacken.
@David Ermes:
Nein, gut gewählte und ausreichend lange Passworte kann man nicht mit Brute Force knacken. Das liegt daran, dass der Aufwand exponentiell mit der (effektiven) Länge steigt (Beispiel mit Zahlen: Es gibt 100 zweistellige Zahlen, 1000 dreistellige Zahlen, 10.000 vierstellige Zahlen,… mit jeder Ziffer mehr erhöht sich der Durchprobieraufwand um Faktor 10, wenn alle Ziffern zufällig gewählt sind)
Aber selbst wenn ein Angreifer das Passwort erlangen konnte, muß damit noch nicht alles verloren sein. Ist ein Login mit Zwei-Faktor-Authentifizierung abgesichert, genügt das Passwort alleine nicht zum Login.
Das Problem haben doch eher Twitter und YouTube, oder?
Als Fälschung bereits identifiziert. Auch völlig untypisch das sie sich selber isis nennen. Ein weiterer Fall von falscher Beschuldigung eines Hackerangriffs. Eine einfache Methode politiche Gegner zu denunzieren, die ahren Täter bleiben wie immer unauffindbar…