Twitters neues Anmeldeverfahren bereits unsicher
Erst diese Woche hatte Twitter die Anmeldung zu seinem Kurznachrichtendienst auf ein zweistufiges Verfahren umgestellt und folgte damit anderen Konzernen wie Apple oder Microsoft. Sicherheitsexperten konnten dieses Verfahren aber bereits jetzt überlisten. Somit dürfte sich Twitter weiterhin Problemen ausgesetzt sehen.
Durch das neue Verfahren sollten Falschmeldungen über ein übernommenes Twitter-Konto im Zukunft der Vergangenheit angehören. In den vergangenen Monaten sah sich der Dienstleister immer wieder mit Kontenübernahmen in den Schlagzeilen, wie zum Beispiel die Übernahme der Accounts der Nachrichtenagenturen AP und AFP, über welche Falschmeldungen über eine angebliche Explosion im Weißen Haus verbreitet wurden. Dass diese Meldungen durchaus auch für Manipulationen an der Börse genutzt werden können, wurde in diesem Fall sehr deutlich: Kurz nach Veröffentlichung der Falschmeldung brachen die Kurse am US-Börsenmarkt für kurze Zeit ein. Ebenso sahen sich Anfang Februar diesen Jahres die New York Times und das Wall Street Journal Angriffen auf ihre Twitter-Accounts ausgesetzt.
Die Hoffnungen, welche auf das neue System gesetzt wurden, währte jedoch nicht lange. Dieser Tage hat Sean Sullivan, Sicherheitsexperte bei F-Secure, einen genauen Blick auf die neue Anmeldeprozedur geworfen und konnte diese mit einfachsten Mitteln umgehen. So schickt Twitter nun, wie einige andere Anbieter auch, bei der Anmeldung auf Wunsch eine SMS mit einem Code an eine vorher festgelegte Nummer, welcher beim Login mit eingegeben werden muss. Twitter nutzt aber die gleiche Mobilnummer ebenfalls für optionale Benachrichtigungen. In diesem Fall soll es möglich sein, mit einer SMS unter Angabe der hinterlegten Mobilnummer den Versand einer SMS zu stoppen. Das Gefährliche hierbei: Mit dieser Deaktivierung wird auch die Zweistufenanmeldung außer Kraft gesetzt. Angreifer müssen also demnach nur die Mobilnummer des Opfers in Erfahrung bringen, um nach der alten Methode ein Konto übernehmen zu können.
Josh Alexander von der Sicherheitsfirma Toopher zeigt in einem Video auf YouTube eine andere Möglichkeit, welche von ihm als „Man-in-the-Middle“-Methode bezeichnet wird und die bereits vom Online-Banking seit Längerem bekannt ist: Hier wird das potenzielle Opfer mit einer E-Mail auf eine fingierte Twitter-Seite gelockt, auf welcher es versucht sich mit seinen Zugangsdaten einzuloggen. Somit gelangt der Angreifer recht einfach an die benötigten Zugangsdaten, um sich selbst an den Account anzumelden. Dadurch wird gleichzeitig eine SMS an den eigentlichen Account-Inhaber gesendet, den in der SMS enthaltenen Code gibt dieser auf der gefälschten Twitter-Seite ein und somit bekommt der Täter kompletten Zugriff auf das Konto, wo er in den Einstellungen die zweistufige Anmeldung deaktivieren kann.
Laut Alexander ist diese Methode zwar aufwendig, aber durchaus rentabel. So können durch Erbeutung der richtigen Accounts und den darauf folgenden Falschmeldungen Börsenkurse derart manipuliert werden, dass Kriminelle hier Millionen ergaunern können.