Sicher wollte Twitter sich machen. Der Nachrichtendienst sollte durch das Mitte dieser Woche eingeführte Sicherheitsverfahren Angriffe auf Kunden-Accounts verhindern. Durch das neue 2FA-SMS-System sollte verhindert werden, dass Angreifer Twitter-Konten wie jene der Nachrichtenagenturen AFP und AP kapern und Falschmeldungen verbreiten, die im Fall von AP die Kurse am US-Aktienmarkt für kurze Zeit absacken ließ.
Doch schon nach wenigen Tagen hat Sean Sullivan vom Dienstleister F-Secure das neue System geknackt - und zieht ein vernichtendes Fazit ( hier sein Blogpost). Mit Leichtigkeit lassen sich die neuen Sicherheitsstandards aushebeln. Eine bessere Sicherheit der Accounts kann er nicht feststellen; eher sogar das Gegenteil. In manchen Fällen werden die Accounts sogar noch leichter angreifbar.
Auf der Seite des Sicherheitsdienstleisters beschreibt Sullivan ausführlich die von ihm angewandte Methode, sich Zugriff auf einen Twitter-Account zu verschaffen. Sullivan nutzte folgende Lücke: Twitter schickt bei der neuen zweistufigen Anmeldung bei jedem einzelnen Login eine SMS mit einem neuen Code an eine vorab angegebene Mobilfunknummer, wie es auch vom Online-Banking bekannt ist. Dieser Code wird zur Anmeldung benutzt.
Hier jedoch taucht ein gravierendes Problem auf: Twitter nutzt den Versand von SMS nicht nur für die Mitteilung der Codes. Der Dienst bietet auch eine optionale Benachrichtigung für Tweets und ähnliches an. Wer das abschalten will, kann das ganz einfach tun. Es ist lediglich eine SMS an Twitter notwendig. Wer also die Mobilfunknummer eines potentiellen Opfers kennt, kann einfach die Zwei-Faktoren-Anmeldung abschalten. Allerdings kann ein zusätzliches Passwort für die SMS-Steuerung vergeben werden, um diese Angriffe anzuwehren.
Der Chef der Sicherheitsfirma Toopher, Josh Alexander, beschreibt in einem Online-Video eine andere Angriffsmethode, die man schon vom Onlinebanking kennt. Dabei wird das Opfer mit einer Lock-E-Mail dazu gebracht, eine gefälschte Twitter-Seite aufzurufen. Das Opfer gibt dort seinen Login ein. Mit dem Passwort loggen sich die Täter schließlich auf der echten Twitter-Seite ein, eine SMS wird an das Telefon des Opfers geschickt und auf der gefälschten Seite wird der User nach der in der SMS verschickten zweiten Sicherheitskennung gefragt. Gibt er sie auf der gefälschten Seite ein, ist sein Account gehackt und der User machtlos.