Zwei-Faktor-Authentifizierung: Die Lücke im Twitter-Support

Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.

Artikel veröffentlicht am , Hanno Böck
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab.
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab. (Bild: Santeri Viinamäki/Wikimedia Commons/CC-BY-SA 4.0)

Zwei-Faktor-Authentifizierung gilt normalerweise als wirksame Maßnahme, um Onlineaccounts besser abzusichern. Dem bekannten Youtuber Unge half sie aber nichts. Denn bei Twitter schaltete man die Extra-Absicherung einfach aus - der Angreifer musste nur freundlich fragen. Twitter will sich zu dem Vorfall nicht äußern.

Stellenmarkt
  1. Applikations Techniker (w/m/d) HW & SW - 2nd & 3rd Level Support
    Novexx Solutions GmbH, Eching bei München
  2. Softwareentwickler Backend (m/w/d)
    eLearning Manufaktur GmbH, Kleve, Düsseldorf (Home-Office möglich)
Detailsuche

Der Angreifer, der unter dem Pseudonym 0rbit bekannt ist, hat seit Anfang Dezember private Daten von zahlreichen Politikern und anderen Prominenten über Twitter verbreitet. Doch lange Zeit nahm kaum jemand Notiz davon. Den Account von Unge übernahm 0rbit daher vermutlich, um mehr Aufmerksamkeit für seine Datenleaks zu erhalten. Unge ist einer der bekanntesten Youtuber in Deutschland.

Twitter unterstützt unter dem Namen Login Verification verschiedene Verfahren zur Zwei-Faktor-Authentifizierung, darunter per SMS verschickte Codes, rotierende Codes von Apps wie Google Authenticator oder spezielle Hardware-Tokens. Gerade bei Personen, die besonders gefährdet sind, soll die Extra-Authentifizierung sicherstellen, dass eine Accountübernahme erschwert wird und nicht etwa alleine durch ein gestohlenes Passwort durchgeführt werden kann.

Support hilft ungewollt bei Accountübernahme

Unge erklärte später auf Twitter, dass er für seinen Twitter-Account Zwei-Faktor-Authentifizierung aktiviert hatte. Doch zunächst wurde sein Gmail-Account übernommen. Wie das passierte, ist unklar. Wir haben versucht, Unge für eine Klärung zu erreichen, wir haben aber leider keine Antwort erhalten. Denkbar ist, dass ein Passwort wiederverwendet wurde, das an anderer Stelle, etwa durch ein Datenleck, kompromittiert wurde.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Über den Gmail-Account schrieb der Angreifer an den Twitter-Support und bat um eine Deaktivierung der Zwei-Faktor-Authentifizierung. Mit Erfolg: Der Twitter-Support schaltete die Zwei-Faktor-Authentifizierung ab und über den Zugriff auf die Gmail-Adresse konnte der Angreifer das Passwort neu setzen.

Dadurch stellt sich die Frage, wie hilfreich die Zwei-Faktor-Authentifizierung überhaupt ist. Wenn diese durch eine simple E-Mail an den Support deaktiviert werden kann, reicht es offenbar, die mit einem Twitter-Account verbundene E-Mail-Adresse zu kapern, um einen Twitter-Account zu übernehmen. Von einer Zwei-Faktor-Authentifizierung kann man dabei also eigentlich überhaupt nicht mehr sprechen.

Twitter: kein Kommentar

Wir haben Twitter um eine Stellungnahme gebeten. Die Antwort fiel kurz aus: "Wir geben hierzu keinen Kommentar ab", erfuhren wir von der Twitter-Pressestelle.

Es ist ein generelles Problem bei Sicherheitsmaßnahmen für Onlineaccounts: Wie kann eine Wiederherstellung von Accounts durchgeführt werden, wenn ein Nutzer seine Zugangsmittel verloren hat, beispielsweise das Smartphone mit der entsprechenden App? Bei Services mit Zwei-Faktor-Authentifizierung ist es üblich, dass Nutzern ein spezieller Recovery-Code gegeben wird, den sie sicher ablegen sollten. Auch Twitter bietet eine solche Möglichkeit an.

Allerdings will man in vielen Fällen selbst dann Personen ermöglichen, ihren Account wiederzuerlagen, wenn sie keine Recovery-Codes haben oder auch diese verlieren. Das ist hier wohl passiert. Die Frage, ob der Twitter-Support generell so vorgeht und ob es für Nutzer weitere Schutzmaßnahmen gibt, wenn sie solche Angriffe befürchten, wollte Twitter uns jedoch ebenfalls nicht beantworten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krypto-Betrug in Milliardenhöhe
Gründer von Africrypt stehlen 69.000 Bitcoin

Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
Artikel
  1. Gericht: Airbnb muss Daten von Vermietern bei Verdacht herausgeben
    Gericht
    Airbnb muss Daten von Vermietern bei Verdacht herausgeben

    Gibt es einen Anfangsverdacht der Zweckentfremdung, muss Airbnb die Daten der Vermieter an die Behörden weitergeben.

  2. Lego Builder's Journey im Test: Knuffige Klötzchen knobeln
    Lego Builder's Journey im Test
    Knuffige Klötzchen knobeln

    Zwei Figuren und viele Welten: Lego Builder's Journey erzählt die Geschichte einer Reise - und sieht mit Raytracing verblüffend real aus.
    Ein Test von Marc Sauter

  3. Deutschland: Wieder Entlassungen bei IBM
    Deutschland
    Wieder Entlassungen bei IBM

    Von einem Abbauplan von 2.300 Stellen bei IBM sind nach 1.000 Aufhebungsverträgen doch noch Kündigungen übrig. Es trifft laut Verdi auch ältere und behinderte Menschen.

freshcuruba 14. Jan 2019

Ist mittlerweile bei einigen Anbietern auch schon super easy z.B. bei gmail kann man vor...

Hotohori 09. Jan 2019

Eben, womöglich wurden gar mehrere Mails mit dem Twitter Support ausgetauscht und so...

Hotohori 09. Jan 2019

Vielleicht haben sie das ja, was in dem Fall aber nichts gebracht hätte, weil der...

Hotohori 09. Jan 2019

Schon möglich, zumal über solche Personen, die derart in der Öffentlichkeit stehen, je...

pheinlein 08. Jan 2019

mailbox.org erhebt genauso viele oder wenige Daten, wie Posteo. In jedem Fall kann man...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /