Und zwar auf dem Boden der Tatsachen. Ganz verstohlen blendete nämlich Twitter gestern Abend auf seiner Website eine kleine Meldung ein:
“Warning! Don’t sign in to fake Twitter.com from a DM.”
Worum es geht, findet man inzwischen im Twitter-Blog, Twitter ist nämlich Opfer von etwas ganz Schnödem geworden: Klassisches Phishing. Sprich: Benutzer bekommen einen Tweet, also eine Twitter-Nachricht, und sollen sich auf der Twitter-Website mit ihren Zugangsdaten neu anmelden. Der beigefügte Link führt aber nicht auf die echte Twitter-Website, sondern auf einen Fake und wer dort seine Zugangsdaten eingibt, hat sie dann ab diesem Zeitpunkt einem Gauner in die Hand gegeben.
Das wirklich Ärgerliche an Twitter ist, dass die Twitter-Folks mit ihrer Sache so richtig schlampig umgehen und die Dummheit der Nutzer mehr als fördern. Der zentrale Schwachpunkt von Twitter – und das macht Phishing von Twitter-Zugangsdaten so richtig interessant – ist die Zugangsdatenverwaltung und die Nutzung der API, also der Programmierschnittstelle zu Twitter. Jeder halbwegs talentierte Programmierer darf nämlich für seine Anwendung die Twitter-API nutzen und damit durchaus schöne Dinge realisieren. TwitPic ist vermutlich einer der populärsten Anwendungen und funktioniert so, dass man auf der Website von TwitPic seine Twitter-Zugangsdaten (!) eingibt. Aber auch so Dienste die identi.ca oder Facebook kennen die Twitter-Zugangsdaten ihrer Benutzer, wenn sie von diesen Diensten aus auch ihren eventuell vorhandenen Twitter-Account befüttern.
Und dabei predigen wir Sicherheitsleute ständig: Gib’ deine Zugangsdaten für einen Dienst niemals auf der Website eines anderen ein! Andere Dienste können gehackt werden, die Betreiber können unzuverlässig sein oder sie können ihren Dienst auch schlicht und einfach irgendwann an jemandem verkaufen, der einfach nur an der Benutzerbasis interessiert ist. Und schon macht es “Puff” und eine ganze Reihe von Zugangsdaten sind irgendwo in der Twilight-Zone.
Es wird höchste, allerhöchste Eisenbahn, dass die Twitter-Entwickler sich nun mal vorrangig um die Sicherheit ihres Dienstes und dem Schutz ihrer Benutzer kümmern. Sichere und halbwegs einfach zu bedienende Authentifizierungsverfahren gibt es, man muss es halt einfach einmal implementieren.
Schreibe einen Kommentar