Abo
  • IT-Karriere:

Zwei-Faktor-Authentifizierung: Die Lücke im Twitter-Support

Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.

Artikel veröffentlicht am , Hanno Böck
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab.
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab. (Bild: Santeri Viinamäki/Wikimedia Commons/CC-BY-SA 4.0)

Zwei-Faktor-Authentifizierung gilt normalerweise als wirksame Maßnahme, um Onlineaccounts besser abzusichern. Dem bekannten Youtuber Unge half sie aber nichts. Denn bei Twitter schaltete man die Extra-Absicherung einfach aus - der Angreifer musste nur freundlich fragen. Twitter will sich zu dem Vorfall nicht äußern.

Stellenmarkt
  1. Wacker Chemie AG, München
  2. Klöckner Pentaplast GmbH, Heiligenroth

Der Angreifer, der unter dem Pseudonym 0rbit bekannt ist, hat seit Anfang Dezember private Daten von zahlreichen Politikern und anderen Prominenten über Twitter verbreitet. Doch lange Zeit nahm kaum jemand Notiz davon. Den Account von Unge übernahm 0rbit daher vermutlich, um mehr Aufmerksamkeit für seine Datenleaks zu erhalten. Unge ist einer der bekanntesten Youtuber in Deutschland.

Twitter unterstützt unter dem Namen Login Verification verschiedene Verfahren zur Zwei-Faktor-Authentifizierung, darunter per SMS verschickte Codes, rotierende Codes von Apps wie Google Authenticator oder spezielle Hardware-Tokens. Gerade bei Personen, die besonders gefährdet sind, soll die Extra-Authentifizierung sicherstellen, dass eine Accountübernahme erschwert wird und nicht etwa alleine durch ein gestohlenes Passwort durchgeführt werden kann.

Support hilft ungewollt bei Accountübernahme

Unge erklärte später auf Twitter, dass er für seinen Twitter-Account Zwei-Faktor-Authentifizierung aktiviert hatte. Doch zunächst wurde sein Gmail-Account übernommen. Wie das passierte, ist unklar. Wir haben versucht, Unge für eine Klärung zu erreichen, wir haben aber leider keine Antwort erhalten. Denkbar ist, dass ein Passwort wiederverwendet wurde, das an anderer Stelle, etwa durch ein Datenleck, kompromittiert wurde.

Über den Gmail-Account schrieb der Angreifer an den Twitter-Support und bat um eine Deaktivierung der Zwei-Faktor-Authentifizierung. Mit Erfolg: Der Twitter-Support schaltete die Zwei-Faktor-Authentifizierung ab und über den Zugriff auf die Gmail-Adresse konnte der Angreifer das Passwort neu setzen.

Dadurch stellt sich die Frage, wie hilfreich die Zwei-Faktor-Authentifizierung überhaupt ist. Wenn diese durch eine simple E-Mail an den Support deaktiviert werden kann, reicht es offenbar, die mit einem Twitter-Account verbundene E-Mail-Adresse zu kapern, um einen Twitter-Account zu übernehmen. Von einer Zwei-Faktor-Authentifizierung kann man dabei also eigentlich überhaupt nicht mehr sprechen.

Twitter: kein Kommentar

Wir haben Twitter um eine Stellungnahme gebeten. Die Antwort fiel kurz aus: "Wir geben hierzu keinen Kommentar ab", erfuhren wir von der Twitter-Pressestelle.

Es ist ein generelles Problem bei Sicherheitsmaßnahmen für Onlineaccounts: Wie kann eine Wiederherstellung von Accounts durchgeführt werden, wenn ein Nutzer seine Zugangsmittel verloren hat, beispielsweise das Smartphone mit der entsprechenden App? Bei Services mit Zwei-Faktor-Authentifizierung ist es üblich, dass Nutzern ein spezieller Recovery-Code gegeben wird, den sie sicher ablegen sollten. Auch Twitter bietet eine solche Möglichkeit an.

Allerdings will man in vielen Fällen selbst dann Personen ermöglichen, ihren Account wiederzuerlagen, wenn sie keine Recovery-Codes haben oder auch diese verlieren. Das ist hier wohl passiert. Die Frage, ob der Twitter-Support generell so vorgeht und ob es für Nutzer weitere Schutzmaßnahmen gibt, wenn sie solche Angriffe befürchten, wollte Twitter uns jedoch ebenfalls nicht beantworten.



Anzeige
Top-Angebote
  1. 124,99€ (Bestpreis!)
  2. 61,80€
  3. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

freshcuruba 14. Jan 2019

Ist mittlerweile bei einigen Anbietern auch schon super easy z.B. bei gmail kann man vor...

Hotohori 09. Jan 2019

Eben, womöglich wurden gar mehrere Mails mit dem Twitter Support ausgetauscht und so...

Hotohori 09. Jan 2019

Vielleicht haben sie das ja, was in dem Fall aber nichts gebracht hätte, weil der...

Hotohori 09. Jan 2019

Schon möglich, zumal über solche Personen, die derart in der Öffentlichkeit stehen, je...

pheinlein 08. Jan 2019

mailbox.org erhebt genauso viele oder wenige Daten, wie Posteo. In jedem Fall kann man...


Folgen Sie uns
       


Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /