Abo
  • Services:

Zwei-Faktor-Authentifizierung: Die Lücke im Twitter-Support

Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.

Artikel veröffentlicht am , Hanno Böck
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab.
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab. (Bild: Santeri Viinamäki/Wikimedia Commons/CC-BY-SA 4.0)

Zwei-Faktor-Authentifizierung gilt normalerweise als wirksame Maßnahme, um Onlineaccounts besser abzusichern. Dem bekannten Youtuber Unge half sie aber nichts. Denn bei Twitter schaltete man die Extra-Absicherung einfach aus - der Angreifer musste nur freundlich fragen. Twitter will sich zu dem Vorfall nicht äußern.

Stellenmarkt
  1. OPTIMAL SYSTEMS GmbH, Berlin
  2. über Mittelstandstrainer GmbH, Region Süd­schwarz­wald

Der Angreifer, der unter dem Pseudonym 0rbit bekannt ist, hat seit Anfang Dezember private Daten von zahlreichen Politikern und anderen Prominenten über Twitter verbreitet. Doch lange Zeit nahm kaum jemand Notiz davon. Den Account von Unge übernahm 0rbit daher vermutlich, um mehr Aufmerksamkeit für seine Datenleaks zu erhalten. Unge ist einer der bekanntesten Youtuber in Deutschland.

Twitter unterstützt unter dem Namen Login Verification verschiedene Verfahren zur Zwei-Faktor-Authentifizierung, darunter per SMS verschickte Codes, rotierende Codes von Apps wie Google Authenticator oder spezielle Hardware-Tokens. Gerade bei Personen, die besonders gefährdet sind, soll die Extra-Authentifizierung sicherstellen, dass eine Accountübernahme erschwert wird und nicht etwa alleine durch ein gestohlenes Passwort durchgeführt werden kann.

Support hilft ungewollt bei Accountübernahme

Unge erklärte später auf Twitter, dass er für seinen Twitter-Account Zwei-Faktor-Authentifizierung aktiviert hatte. Doch zunächst wurde sein Gmail-Account übernommen. Wie das passierte, ist unklar. Wir haben versucht, Unge für eine Klärung zu erreichen, wir haben aber leider keine Antwort erhalten. Denkbar ist, dass ein Passwort wiederverwendet wurde, das an anderer Stelle, etwa durch ein Datenleck, kompromittiert wurde.

Über den Gmail-Account schrieb der Angreifer an den Twitter-Support und bat um eine Deaktivierung der Zwei-Faktor-Authentifizierung. Mit Erfolg: Der Twitter-Support schaltete die Zwei-Faktor-Authentifizierung ab und über den Zugriff auf die Gmail-Adresse konnte der Angreifer das Passwort neu setzen.

Dadurch stellt sich die Frage, wie hilfreich die Zwei-Faktor-Authentifizierung überhaupt ist. Wenn diese durch eine simple E-Mail an den Support deaktiviert werden kann, reicht es offenbar, die mit einem Twitter-Account verbundene E-Mail-Adresse zu kapern, um einen Twitter-Account zu übernehmen. Von einer Zwei-Faktor-Authentifizierung kann man dabei also eigentlich überhaupt nicht mehr sprechen.

Twitter: kein Kommentar

Wir haben Twitter um eine Stellungnahme gebeten. Die Antwort fiel kurz aus: "Wir geben hierzu keinen Kommentar ab", erfuhren wir von der Twitter-Pressestelle.

Es ist ein generelles Problem bei Sicherheitsmaßnahmen für Onlineaccounts: Wie kann eine Wiederherstellung von Accounts durchgeführt werden, wenn ein Nutzer seine Zugangsmittel verloren hat, beispielsweise das Smartphone mit der entsprechenden App? Bei Services mit Zwei-Faktor-Authentifizierung ist es üblich, dass Nutzern ein spezieller Recovery-Code gegeben wird, den sie sicher ablegen sollten. Auch Twitter bietet eine solche Möglichkeit an.

Allerdings will man in vielen Fällen selbst dann Personen ermöglichen, ihren Account wiederzuerlagen, wenn sie keine Recovery-Codes haben oder auch diese verlieren. Das ist hier wohl passiert. Die Frage, ob der Twitter-Support generell so vorgeht und ob es für Nutzer weitere Schutzmaßnahmen gibt, wenn sie solche Angriffe befürchten, wollte Twitter uns jedoch ebenfalls nicht beantworten.



Anzeige
Spiele-Angebote
  1. 18,49€
  2. 31,99€
  3. (-80%) 5,55€

freshcuruba 14. Jan 2019

Ist mittlerweile bei einigen Anbietern auch schon super easy z.B. bei gmail kann man vor...

Hotohori 09. Jan 2019

Eben, womöglich wurden gar mehrere Mails mit dem Twitter Support ausgetauscht und so...

Hotohori 09. Jan 2019

Vielleicht haben sie das ja, was in dem Fall aber nichts gebracht hätte, weil der...

Hotohori 09. Jan 2019

Schon möglich, zumal über solche Personen, die derart in der Öffentlichkeit stehen, je...

pheinlein 08. Jan 2019

mailbox.org erhebt genauso viele oder wenige Daten, wie Posteo. In jedem Fall kann man...


Folgen Sie uns
       


Huawei Matebook 14 - Hands on (MWC 2019)

Das Matebook 14 ist eines von zwei neuen Notebooks, das Huawei auf dem MWC 2019 vorgestellt hat. Golem.de hat sich das Gerät genauer angeschaut.

Huawei Matebook 14 - Hands on (MWC 2019) Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
Pauschallizenzen
CDU will ihre eigenen Uploadfilter verhindern

Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    •  /