200 Millionen X-Konten in massive Datenpanne geleakt — 2,8 Milliarden Twitter-IDs exponiert
April 05, 2025
Elon Musks X, früher bekannt als Twitter, steht vor einer der alarmierendsten Cybersecurity-Krisen seiner Geschichte. Ein selbsternannter Datenenthusiast hat eine Sammlung von über 200 Millionen Benutzeraufzeichnungen veröffentlicht, die mit 2,8 Milliarden einzigartigen Twitter-Nutzer-IDs verbunden sind. Dies könnte der größte Leak dieser Art in der Geschichte der sozialen Medien sein.
Ein Neuer Leak Basierend auf einer Alten Schwachstelle
Der Vorfall geht auf eine Schwachstelle zurück, die erstmals Anfang 2022 durch das Bug-Bounty-Programm von Twitter gemeldet wurde. Diese Lücke ermöglichte es böswilligen Akteuren, private Benutzerdaten – einschließlich E-Mail-Adressen und Telefonnummern – einfach abzurufen, indem sie sie in das System eingaben. Bevor das Problem behoben werden konnte, hatten Angreifer bereits begonnen, diese Daten online zu sammeln und zu verkaufen.
Twitter erkannte den Sicherheitsvorfall im Juli 2022 an und erklärte:
„Nach der Überprüfung einer Probe der zum Verkauf stehenden Daten bestätigten wir, dass ein böswilliger Akteur die Schwachstelle ausgenutzt hat, bevor sie behoben wurde.“
Jetzt, im Jahr 2025, ist derselbe Datensatz Berichten zufolge wieder aufgetaucht – verbessert und erweitert mit neueren Informationen – und wurde vollständig von einem Benutzer veröffentlicht, der unter dem Pseudonym ThinkingOne bekannt ist.
200 Millionen Nutzer, 34 GB Daten – Kostenlos Abgegeben
Laut einem Beitrag in einem prominenten Leak-Forum hat ThinkingOne eine 34 GB CSV-Datei veröffentlicht, die 201.186.753 Datensätze enthält, jeder mit einer Kombination aus öffentlichen und privaten Daten. Dies beinhaltet: X-Benutzernamen und Nutzer-IDs, Vollständige Namen und Profildetails, Standorte, E-Mail-Adressen, Follower-Zahlen und mehr
Die Cybersecurity-Gruppe Safety Detectives bestätigte, dass ein Großteil der Daten echt zu sein scheint. Ihre Analyse ergab konsistente Formatierungen und übereinstimmende Datensätze im Vergleich zu bekannten Benutzerinformationen.
ThinkingOne Äußert Sich
In einem E-Mail-Austausch mit Forbes-Cybersecurity-Autor Davey Winder stellte der Leaker klar, dass sie sich nicht als Hacker identifizieren, sondern vielmehr als „Datenenthusiasten“, die im rechtlichen Rahmen agieren.
„Ich betrachte mich nicht als Hacker“, sagte ThinkingOne. „Ich teile einfach, was bereits da war – gesammelt und bereinigt. Mein Ziel ist nicht Schaden, sondern Bewusstsein.“
Sie ließen auch eine Bombe platzen:
„Die eigentliche Geschichte hier ist, dass 2,8 Milliarden Twitter-IDs exfiltriert wurden. Das liegt weit über der Anzahl aktiver Nutzer. Wie konnte jemand jede Twitter-ID auflisten, es sei denn, sie hatten internen Zugang?“
Dies wirft ernsthafte Fragen auf, ob der ursprüngliche Vorfall größer war, als zunächst berichtet, oder ob mehrere Datenlecks kombiniert wurden.
X Hat Noch Nicht Geantwortet
Laut ThinkingOne wurden mehrere Versuche unternommen, X vor der Veröffentlichung des Datensatzes zu warnen, aber sie behaupten, keine Antwort erhalten zu haben. Zum Zeitpunkt des Verfassens dieses Textes hat X keine offizielle Stellungnahme zu dem Leak oder dessen Auswirkungen auf betroffene Nutzer abgegeben.
In früheren Sicherheitsvorfällen neigte Musks Führung in der Regel dazu, durch X-Beiträge oder kurze Pressekommentare die Schadensbegrenzung zu suchen. In diesem Fall wurden jedoch keine öffentlichen Erklärungen abgegeben.
Nicht Xs Erste Cybersecurity-Krise
Dieser Datenleck folgt einer Reihe von sicherheitsbezogenen Problemen für die Plattform:
- Im März 2024 stürzte die Plattform während des Start der Präsidentschaftskampagne von Ron DeSantis auf Twitter Spaces ab.
- Im August 2024 erlitt X einen großen Ausfall, der über 60% der Nutzer betraf.
- Noch vor wenigen Wochen im März 2025 behauptete Musk, ein "massiver Cyberangriff" sei verantwortlich für einen vorübergehenden Ausfall gewesen.
- Berichte über Passwort-stehlende Phishing-Kampagnen bei X haben ebenfalls im Laufe von 2024 und 2025 zirkuliert.
Diese Vorfälle haben Besorgnis darüber geweckt, ob das technische Team der Plattform ausreichend ausgestattet und strukturiert ist, um Bedrohungen im großen Maßstab zu bewältigen.
Was Sollen X-Nutzer Jetzt Tun?
Obwohl X den Leak nicht bestätigt hat, wird den Nutzern geraten, sofort Vorsichtsmaßnahmen zu treffen, darunter:
- Ändern ihrer X-Konto-Passwörter
- Aktivierung der Zwei-Faktor-Authentifizierung (2FA)
- Überwachung der mit X verbundenen E-Mail-Konten auf ungewöhnliche Aktivitäten
- Vorsicht bei Phishing-Versuchen, die auf X-Benutzernamen oder Follower-Zahlen verweisen
Angesichts der Art des Lecks könnten betroffene Nutzer Risiken durch Spam, Identitätsdiebstahl oder ernstere identitätsbezogene Angriffe ausgesetzt sein.
Dies könnte einer der bedeutendsten Datenlecks in sozialen Medien sein, die jemals aufgezeichnet wurden, sowohl in Bezug auf das Volumen als auch auf die Auswirkungen. Mit über 200 Millionen betroffenen Nutzern und 2,8 Milliarden exponierten IDs spiegelt der Leak langfristige Schwachstellen wider, die möglicherweise auch Jahre nach der Entdeckung der ursprünglichen Schwachstelle nicht vollständig behoben wurden.
Fürs Erste liegt der Ball bei X, um zu reagieren – und eine sehr nervöse Nutzerbasis zu beruhigen.
Dies ist eine sich entwickelnde Geschichte und wird aktualisiert, sobald neue Informationen verfügbar werden.
Related posts
UK-Minister berichtet, dass sein X-Konto gehackt wurde, um einen Krypto-Betrug zu fördern.
April 18, 2025
Der verifizierte X-Account von Lucy Powell wurde gehackt, um eine gefälschte Kryptowährung zu bewerben. Hier ist, was passiert ist und warum Krypto-Betrügereien in sozialen Medien zunehmen.
Mehr lesen →
Broadview verlässt X und schließt sich Bluesky an, unter Berufung auf Desinformation und Plattformwerte.
April 11, 2025
Broadview.org verlässt X und wechselt zu Bluesky, wobei es Desinformation, politische Voreingenommenheit und den Wunsch anführt, sich an Plattformen auszurichten, die journalistische Werte widerspiegeln.
Mehr lesen →
X plant, inaktive Benutzernamen ab 10.000 US-Dollar an verifizierte Unternehmen zu verkaufen.
April 10, 2025
X startet ein Handleskauf-System für verifizierte Organisationen. Die Gebote beginnen bei 10.000 $ und können bei inaktiven Benutzernamen 500.000 $ überschreiten.
Mehr lesen →
UK-Minister berichtet, dass sein X-Konto gehackt wurde, um einen Krypto-Betrug zu fördern.
April 18, 2025
Der verifizierte X-Account von Lucy Powell wurde gehackt, um eine gefälschte Kryptowährung zu bewerben. Hier ist, was passiert ist und warum Krypto-Betrügereien in sozialen Medien zunehmen.
Mehr lesen →
Broadview verlässt X und schließt sich Bluesky an, unter Berufung auf Desinformation und Plattformwerte.
April 11, 2025
Broadview.org verlässt X und wechselt zu Bluesky, wobei es Desinformation, politische Voreingenommenheit und den Wunsch anführt, sich an Plattformen auszurichten, die journalistische Werte widerspiegeln.
Mehr lesen →
X plant, inaktive Benutzernamen ab 10.000 US-Dollar an verifizierte Unternehmen zu verkaufen.
April 10, 2025
X startet ein Handleskauf-System für verifizierte Organisationen. Die Gebote beginnen bei 10.000 $ und können bei inaktiven Benutzernamen 500.000 $ überschreiten.
Mehr lesen →