Ein niederländischer IT-Sicherheitsforscher will den Twitter-Account von Donald Trump geknackt haben. Viel Aufwand musste er dafür angeblich nicht betreiben. Er habe händisch verschiedene Passworte ausprobiert – bis eines klappte: „maga2020!“.
Von Michael Förtsch
Der US-Präsident Donald Trump twittert viel und oft. Alleine im ersten Halbjahr 2020 hat er über 6.000 Tweets abgesetzt – rund 33 pro Tag. Medienforschern zufolge ist Twitter einer der wichtigsten Kanäle für Trump. Daher überrascht es, was der niederländische IT-Sicherheitsforscher und Leiter der GDI Foundation Victor Gevers nun behauptet. Er will es in der vergangenen Woche geschafft haben, sich in den Twitter-Account von Donald Trump einzuloggen. Das schreiben derzeit das niederländische Wochenmagazin Vrij und die Tageszeitung Volkskrant.
Am 16. Oktober habe sich Victor Gevers entschlossen, einen Weg in Trumps Twitter-Account zu finden. Doch statt nach Hintertüren bei Twitter zu suchen, habe er schlichtweg versucht, das Passwort zu erraten. Und bereits beim sechsten Mal habe es geklappt. Es sei „maga2020!“ gewesen. Eine Zwei-Faktor-Authentifizierung, bei der der Log-in noch mit einer Zahlenkombination aus einer SMS, einer App oder einem Sicherheitsschlüssel bestätigt werden muss, sei nicht aktiviert gewesen. Gevers habe also sofort die volle Kontrolle über den Twitter-Account gehabt. Screenshots, die das bestätigen sollen, hat Vrij veröffentlicht.
Victor Gevers sagt, er habe in Trumps Namen einen Tweet abgesetzt, aber verrät nicht, welchen. Laut Vrij könnte es sich um einen Tweet gehandelt haben, der Trump viel Spott einbrachte. Er teilte eine Satire-Meldung, die behauptete, Twitter würde seinen Dienst einstellen, um die Verbreitung einer Meldung über den Sohn von Joe Biden zu verhindern. „Ich sage nicht, dass ich das war. Aber was wäre, wenn ich es gewesen wäre, der das getwittert hat?“, fragt Gevers. „Dann muss Trump entweder zugeben, dass er den Babylon-Bee-Artikel nie gelesen und diesen schwachsinnigen Tweet gepostet hat, oder er muss zugeben, dass jemand anderes den Tweet gepostet hat.“
Niemand zu erreichen
Nach dem erfolgreichen Einloggen in den Account versuchte Victor Gevers jemanden zu erreichen, um auf den „Hack“ aufmerksam zu machen. Er habe unter anderem an Trump höchstselbst eine Email geschickt – mitsamt Vorschlägen für ein sicheres Passwort: „!IWillMakeAmericaGreatAgain2020!“. Ebenso habe er sich bemüht, das Wahlkampfteam von Trump, das US-CERT, eine Abteilung des Ministeriums für Homeland Security, Twitter, das Weiße Haus und andere zu kontaktieren. Es habe zunächst keine Reaktion gegeben. Am Tag darauf sei beim Trump-Account dann das Passwort geändert und eine Zwei-Faktor-Authentifizierung aktiviert worden. Erst Tage später habe er schließlich eine Nachricht vom Secret Service, der für die Sicherheit des Präsidenten zuständig ist, erhalten.
Das Team des Secret Service habe sich bei ihm für den Hinweis bedankt und um weitere Informationen gebeten. Gevers habe ihnen alles übermittelt, was er hatte. Noch etwas später habe der Secret Service mit ihm gesprochen, sich nochmals bedankt und erklärt, dass die Abteilung nicht über den mangelhaften Sicherheitsstatus des Accounts informiert war. Offenbar wäre die Zwei-Faktor-Authentifizierung deaktiviert worden, als Trump wegen seiner Corona-Infektion ins Krankenhaus eingeliefert wurde, spekuliert Gevers selbst.
Was die Behauptungen von Gevers laut den niederländischen Medien glaubhaft macht, ist, dass er nicht das erste Mal in den Twitter-Account von Donald Trump eingebrochen sei. Das war ihm mit zwei Mitstreitern bereits 2016 gelungen. Kurz vor der Wahl hatte es das Trio geschafft, Donald Trumps Twitter-Passwort zu finden. Seinerzeit war es: „yourefired“. Es stammte aus einem früheren Hack des Business-Netzwerks LinkedIn. Die Datenbank mit Zugangsdaten war dabei gestohlen und im Darknet gepostet worden. Offenbar hatte Trump das Passwort auf mehreren Plattformen genutzt.
Werde jetzt Mitglied von 1E9!
Als Mitglied unterstützt Du unabhängigen, zukunftsgerichteten Tech-Journalismus, der für und mit einer Community aus Idealisten, Gründerinnen, Nerds, Wissenschaftlerinnen und Kreativen entsteht. Außerdem erhältst Du vollen Zugang zur 1E9-Community, exklusive Newsletter und kannst bei 1E9-Events dabei sein. Schon ab 2,50 Euro im Monat!
Jetzt Mitglied werden!
Twitter dementiert den Bericht der niederländischen Medien über den neuerlichen Hack derzeit – beziehungsweise, kann die Behauptungen von Gevers nicht bestätigen. „Wir haben keine Beweise gesehen, die diese Behauptung untermauern, auch nicht aus dem heute in den Niederlanden veröffentlichten Artikel. Wir haben proaktiv Maßnahmen zur Kontensicherheit für eine designierte Gruppe von hochrangigen, wahlbezogenen Twitter-Konten in den Vereinigten Staaten, einschließlich der föderalen Zweige der Regierung, ergriffen“, sagte ein Twitter-Sprecher in einer Erklärung.
Der Hacker will, dass ihr Zwei-Faktor-Authentifizierung nutzt
Dass Gevers den Hack öffentlich machte, habe einen guten Grund. Erst vor wenigen Tagen hatte Trump öffentlich über Hacks gespottet. Er sagte: „Niemand wird gehackt. Um gehackt zu werden brauchst du jemand mit einem IQ von 197 und er muss 15 Prozent deines Passworts wissen. Das passiert nie.“ Es war eine Anspielung auf auf den Journalisten Steve Scully, der erklärt hatte, sein Twitter-Account sei gehackt und für eine Nachricht an den ehemaligen Trump-Kommunikationschef Anthony Scaramucci genutzt worden.
Die Aussagen von Trump wurden von vielen IT-Sicherheitsforschern als falsch und ignorant bezeichnet. Das findet auch Gevers und habe den Hack daher nun doch publik gemacht. Schlecht gesicherte Konten wären keine Kleinigkeit, sondern könnten eine erhebliche Gefahr darstellen. Er habe daher auch nicht nur das Konto von Trump auf Schwachstellen abgeklopft, sondern auch die Accounts von anderen Politikern wie Joe Biden, Mike Pence und Kamala Harris. „Alles was ich möchte ist, dass den Leuten klar ist, dass Zwei-Faktor-Authentifizierung verpflichtend sein sollte“, sagt er. „Passwörter sind die Achillesferse des Internets.“
Teaser-Bild: Getty Images