Wir möchten dich über eine Schwachstelle informieren, durch die Folgendes möglich war: Anhand einer Telefonnummer oder E-Mail-Adresse konnte im Rahmen des Anmeldevorgangs herausgefunden werden, ob diese Angaben mit einem vorhandenen Twitter Account verbunden waren, und wenn ja, mit welchem. Wir nehmen unsere Verpflichtung zum Schutz deiner Daten sehr ernst, und bedauern sehr, dass es zu diesem Vorfall gekommen ist. Du musst in diesem Fall nichts Konkretes tun. Doch wir möchten dir erklären, was passiert ist, welche Maßnahmen wir ergriffen haben und an welchen Best Practices du dich zum Schutz deines Accounts orientieren kannst.

Das ist passiert

Im Januar 2022 wurde uns über unser Bug-Bounty-Programm eine Schwachstelle in den Systemen von Twitter gemeldet. Aufgrund dieser Schwachstelle konnte durch die Eingabe einer E-Mail-Adresse oder Telefonnummer in die Systeme von Twitter herausgefunden werden, ob mit dieser E-Mail-Adresse oder Telefonnummer ein Twitter Account verbunden war, und wenn ja, welcher. Dieser Bug entstand nach einem Update unseres Codes im Juni 2021. Als wir davon erfuhren, untersuchten wir die Angelegenheit umgehend und behoben das Problem. Zu diesem Zeitpunkt gab es keine Hinweise darauf, dass diese Schwachstelle ausgenutzt worden war. 

Im Juli 2022 gab es eine Pressemeldung, dass möglicherweise jemand davon Gebrauch gemacht hatte und die so zusammengetragenen Informationen zum Verkauf anbot. Nachdem wir eine Stichprobe der zum Verkauf angebotenen Daten geprüft hatten, konnten wir bestätigten, dass eine böswillig handelnde Person das Problem ausgenutzt hatte, bevor es behoben wurde.

Wir werden die Account-Inhaber*innen, bei denen wir bestätigen können, dass sie betroffen sind, umgehend benachrichtigen. Wir veröffentlichen dieses Update, da wir nicht bei allen möglicherweise betroffenen Accounts bestätigen können, ob sie tatsächlich betroffen waren oder nicht. Ganz besonders im Blick haben wir dabei Menschen, die Accounts unter Pseudonymen nutzen und Zielscheibe von staatlichen oder böswilligen Akteur*innen werden können.

So kannst du deinen Account schützen

Wir sind uns bewusst, welche Risiken mit einem solchen Vorfall für dich verbunden sind, wenn du einen Twitter Account unter einem Pseudonym nutzt, und wir bedauern zutiefst, dass es dazu gekommen ist. Damit du deine Identität weiter so gut wie möglich schützen kannst, empfehlen wir dir, keine öffentlich bekannte Telefonnummer oder E-Mail-Adresse mit deinem Twitter Account zu verknüpfen.

Zwar wurden keine Passwörter kompromittiert, doch wir möchten allen Nutzer*innen von Twitter empfehlen, mithilfe von Authentifizierungs-Apps oder Hardware-Sicherheitsschlüsseln die Zwei-Faktor-Authentifizierung einzurichten und ihre Accounts so vor unbefugtem Zugriff zu schützen. Wenn du dir Sorgen bezüglich der Sicherheit deines Accounts machst oder Fragen dazu hast, wie wir deine personenbezogenen Daten schützen, kannst du dich über dieses Formular an unseren Datenschutzbeauftragten wenden. 

Mehr über das Melden von Sicherheitsschwachstellen findest du in unserem Hilfe-Center. Informationen zu den Maßnahmen, dir wir ergreifen, um Twitter vor Plattformmanipulation und staatlich gestützten Aktivitäten zu schützen, findest du im Twitter Transparenzbericht.