Zwei-Faktor-Authentifizierung: Die Lücke im Twitter-Support

Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.

Artikel veröffentlicht am , Hanno Böck
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab.
Wenn ein Passwort nicht sicher genug ist, soll Zwei-Faktor-Authentifizierung helfen. Doch der Twitter-Support schaltete die auf Anfrage einfach ab. (Bild: Santeri Viinamäki/Wikimedia Commons/CC-BY-SA 4.0)

Zwei-Faktor-Authentifizierung gilt normalerweise als wirksame Maßnahme, um Onlineaccounts besser abzusichern. Dem bekannten Youtuber Unge half sie aber nichts. Denn bei Twitter schaltete man die Extra-Absicherung einfach aus - der Angreifer musste nur freundlich fragen. Twitter will sich zu dem Vorfall nicht äußern.

Stellenmarkt
  1. IT-Koordinator*in (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
  2. Entwicklungsingenieur (m/w/d) für Stellwerke
    Thales Deutschland GmbH, Ditzingen
Detailsuche

Der Angreifer, der unter dem Pseudonym 0rbit bekannt ist, hat seit Anfang Dezember private Daten von zahlreichen Politikern und anderen Prominenten über Twitter verbreitet. Doch lange Zeit nahm kaum jemand Notiz davon. Den Account von Unge übernahm 0rbit daher vermutlich, um mehr Aufmerksamkeit für seine Datenleaks zu erhalten. Unge ist einer der bekanntesten Youtuber in Deutschland.

Twitter unterstützt unter dem Namen Login Verification verschiedene Verfahren zur Zwei-Faktor-Authentifizierung, darunter per SMS verschickte Codes, rotierende Codes von Apps wie Google Authenticator oder spezielle Hardware-Tokens. Gerade bei Personen, die besonders gefährdet sind, soll die Extra-Authentifizierung sicherstellen, dass eine Accountübernahme erschwert wird und nicht etwa alleine durch ein gestohlenes Passwort durchgeführt werden kann.

Support hilft ungewollt bei Accountübernahme

Unge erklärte später auf Twitter, dass er für seinen Twitter-Account Zwei-Faktor-Authentifizierung aktiviert hatte. Doch zunächst wurde sein Gmail-Account übernommen. Wie das passierte, ist unklar. Wir haben versucht, Unge für eine Klärung zu erreichen, wir haben aber leider keine Antwort erhalten. Denkbar ist, dass ein Passwort wiederverwendet wurde, das an anderer Stelle, etwa durch ein Datenleck, kompromittiert wurde.

Golem Karrierewelt
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
Weitere IT-Trainings

Über den Gmail-Account schrieb der Angreifer an den Twitter-Support und bat um eine Deaktivierung der Zwei-Faktor-Authentifizierung. Mit Erfolg: Der Twitter-Support schaltete die Zwei-Faktor-Authentifizierung ab und über den Zugriff auf die Gmail-Adresse konnte der Angreifer das Passwort neu setzen.

Dadurch stellt sich die Frage, wie hilfreich die Zwei-Faktor-Authentifizierung überhaupt ist. Wenn diese durch eine simple E-Mail an den Support deaktiviert werden kann, reicht es offenbar, die mit einem Twitter-Account verbundene E-Mail-Adresse zu kapern, um einen Twitter-Account zu übernehmen. Von einer Zwei-Faktor-Authentifizierung kann man dabei also eigentlich überhaupt nicht mehr sprechen.

Twitter: kein Kommentar

Wir haben Twitter um eine Stellungnahme gebeten. Die Antwort fiel kurz aus: "Wir geben hierzu keinen Kommentar ab", erfuhren wir von der Twitter-Pressestelle.

Es ist ein generelles Problem bei Sicherheitsmaßnahmen für Onlineaccounts: Wie kann eine Wiederherstellung von Accounts durchgeführt werden, wenn ein Nutzer seine Zugangsmittel verloren hat, beispielsweise das Smartphone mit der entsprechenden App? Bei Services mit Zwei-Faktor-Authentifizierung ist es üblich, dass Nutzern ein spezieller Recovery-Code gegeben wird, den sie sicher ablegen sollten. Auch Twitter bietet eine solche Möglichkeit an.

Allerdings will man in vielen Fällen selbst dann Personen ermöglichen, ihren Account wiederzuerlagen, wenn sie keine Recovery-Codes haben oder auch diese verlieren. Das ist hier wohl passiert. Die Frage, ob der Twitter-Support generell so vorgeht und ob es für Nutzer weitere Schutzmaßnahmen gibt, wenn sie solche Angriffe befürchten, wollte Twitter uns jedoch ebenfalls nicht beantworten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


freshcuruba 14. Jan 2019

Ist mittlerweile bei einigen Anbietern auch schon super easy z.B. bei gmail kann man vor...

Hotohori 09. Jan 2019

Eben, womöglich wurden gar mehrere Mails mit dem Twitter Support ausgetauscht und so...

Hotohori 09. Jan 2019

Vielleicht haben sie das ja, was in dem Fall aber nichts gebracht hätte, weil der...

Hotohori 09. Jan 2019

Schon möglich, zumal über solche Personen, die derart in der Öffentlichkeit stehen, je...



Aktuell auf der Startseite von Golem.de
Retro Gaming
Wie man einen Emulator programmiert

Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
Von Johannes Hiltscher

Retro Gaming: Wie man einen Emulator programmiert
Artikel
  1. Cloudgaming: Microsoft bestätigt Game-Pass-Streaming-Box
    Cloudgaming
    Microsoft bestätigt Game-Pass-Streaming-Box

    Seit Jahren gibt es Gerüchte über eine Alternative zur aktuellen Xbox-Konsolengeneration. Microsoft hat dies nun ganz konkret bestätigt.

  2. Betriebsräte: Apple erhöht Mindestlohn auf 22 US-Dollar
    Betriebsräte
    Apple erhöht Mindestlohn auf 22 US-Dollar

    In mehreren Apple-Store-Filialen organisieren sich Beschäftigte. Ihre Lohnforderungen gehen noch weiter.

  3. FTTH: Telekom baut mehr Super Vectoring als Glasfaser aus
    FTTH
    Telekom baut mehr Super Vectoring als Glasfaser aus

    Bei der Telekom wurden eine Million Haushalte auf Super Vectoring erweitert. FTTH gab es für weitere 270.000.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K UHD günstig wie nie: 999€ • Nur noch heute: Cyber Week mit tollen Rabatten • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /