Zwei-Faktor-Authentifizierung: Die Lücke im Twitter-Support

Zwei-Faktor-Authentifizierung gilt normalerweise als wirksame Maßnahme, um Onlineaccounts besser abzusichern. Dem bekannten Youtuber Unge half sie aber nichts. Denn bei Twitter schaltete man die Extra-Absicherung einfach aus - der Angreifer musste nur freundlich fragen. Twitter will sich zu dem Vorfall nicht äußern.

Der Angreifer, der unter dem Pseudonym 0rbit bekannt ist, hat seit Anfang Dezember private Daten von zahlreichen Politikern und anderen Prominenten über Twitter verbreitet. Doch lange Zeit nahm kaum jemand Notiz davon. Den Account von Unge übernahm 0rbit daher vermutlich, um mehr Aufmerksamkeit für seine Datenleaks zu erhalten. Unge ist einer der bekanntesten Youtuber in Deutschland.

Twitter unterstützt unter dem Namen Login Verification verschiedene Verfahren zur Zwei-Faktor-Authentifizierung, darunter per SMS verschickte Codes, rotierende Codes von Apps wie Google Authenticator oder spezielle Hardware-Tokens. Gerade bei Personen, die besonders gefährdet sind, soll die Extra-Authentifizierung sicherstellen, dass eine Accountübernahme erschwert wird und nicht etwa alleine durch ein gestohlenes Passwort durchgeführt werden kann.

Support hilft ungewollt bei Accountübernahme

Unge erklärte später auf Twitter, dass er für seinen Twitter-Account Zwei-Faktor-Authentifizierung aktiviert hatte. Doch zunächst wurde sein Gmail-Account übernommen. Wie das passierte, ist unklar. Wir haben versucht, Unge für eine Klärung zu erreichen, wir haben aber leider keine Antwort erhalten. Denkbar ist, dass ein Passwort wiederverwendet wurde, das an anderer Stelle, etwa durch ein Datenleck, kompromittiert wurde.

Über den Gmail-Account schrieb der Angreifer an den Twitter-Support und bat um eine Deaktivierung der Zwei-Faktor-Authentifizierung. Mit Erfolg: Der Twitter-Support schaltete die Zwei-Faktor-Authentifizierung ab und über den Zugriff auf die Gmail-Adresse konnte der Angreifer das Passwort neu setzen.

Dadurch stellt sich die Frage, wie hilfreich die Zwei-Faktor-Authentifizierung überhaupt ist. Wenn diese durch eine simple E-Mail an den Support deaktiviert werden kann, reicht es offenbar, die mit einem Twitter-Account verbundene E-Mail-Adresse zu kapern, um einen Twitter-Account zu übernehmen. Von einer Zwei-Faktor-Authentifizierung kann man dabei also eigentlich überhaupt nicht mehr sprechen.

Twitter: kein Kommentar

Wir haben Twitter um eine Stellungnahme gebeten. Die Antwort fiel kurz aus: "Wir geben hierzu keinen Kommentar ab", erfuhren wir von der Twitter-Pressestelle.

Es ist ein generelles Problem bei Sicherheitsmaßnahmen für Onlineaccounts: Wie kann eine Wiederherstellung von Accounts durchgeführt werden, wenn ein Nutzer seine Zugangsmittel verloren hat, beispielsweise das Smartphone mit der entsprechenden App? Bei Services mit Zwei-Faktor-Authentifizierung ist es üblich, dass Nutzern ein spezieller Recovery-Code gegeben wird, den sie sicher ablegen sollten. Auch Twitter bietet eine solche Möglichkeit an.

Allerdings will man in vielen Fällen selbst dann Personen ermöglichen, ihren Account wiederzuerlagen, wenn sie keine Recovery-Codes haben oder auch diese verlieren. Das ist hier wohl passiert. Die Frage, ob der Twitter-Support generell so vorgeht und ob es für Nutzer weitere Schutzmaßnahmen gibt, wenn sie solche Angriffe befürchten, wollte Twitter uns jedoch ebenfalls nicht beantworten.