Datenpanne: Twitter-Passwörter im Klartext gespeichert, alle Nutzer sollen ihr Passwort zurücksetzen

Twitter hat 336 Millionen Nutzer – und alle 336 Millionen werden jetzt dazu aufgefordert, ihr Passwort zu ändern. Grund dafür ist eine jüngst entdeckte Sicherheitslücke, wie Twitter offiziell bekannt gab. Zwar gebe es momentan keine Hinweise, dass Hacker Passwörter abgreifen konnten, dennoch habe man sich zu dieser Sicherheitsmaßnahme entschieden. Das Problem sei bereits behoben, man entschuldige sich aber in aller Form für die Umstände.

Etwas merkwürdig bleibt die genannte Sicherheitslücke aber dennoch. Der Beschreibung zufolge lagen manche Codes unverschlüsselt in einer internen Log-Datei – höchst ungewöhnlich, denn normalerweise wird bei Diensten tunlichst darauf geachtet, nicht mit Klartext-Passwörtern zu hantieren. Die Speicherung darf erst nach dem Verschlüsseln und Errechnen des Hash-Wertes stattfinden, keinesfalls vorher. Auf diese Weise stellt man beispielsweise sicher, dass auch Mitarbeiter das Passwort nicht im Klartext einsehen können. Sollte ein Angreifer Datenbankzugriff erhalten, erhält er ebenfalls keine Kennwörter auf dem Silbertablett, sondern nur für ihn weitgehend wertlose Hashes.


Laut Reuters war die Anzahl der betroffenen Passwörter "substanziell" und die Informationen hätten "monatelang" abgegriffen werden können. Vor einigen Wochen hat Twitter die Regulierungsbehörden gemäß Rechtslage über die Panne informiert. Auf einer speziellen Support-Seite dokumentiert Twitter die peinliche Sicherheitslücke für alle Nutzer und betont noch einmal explizit, dass es keinerlei Anzeichen auf Missbrauch gebe. Als Reaktion auf den schwerwiegenden Fehler habe man nun zusätzliche Sicherheitsmaßnahmen implementiert, die derlei Fehler verhindern sollen. Noch einen weiteren Hinweis gibt Twitter: Wer das Twitter-Passwort nicht nur auf dem Kurznachrichtendienst, sondern auch auf anderen Portalen verwendete, muss es dort selbstverständlich auch ändern... für den unwahrscheinlichen Fall, dass doch unverschlüsselte Passwörter an die Öffentlichkeit oder die Hackerwelt gelangten.

Kommentare

seekFFM04.05.18 11:09
Aber Hinweise zum ändern der Passwörter gab es keine?
0
Gusti
Gusti04.05.18 11:14
seekFFM
Aber Hinweise zum ändern der Passwörter gab es keine?

Doch ging raus. Ich hab die eMail heute Morgen um halb 9 bekommen.
+2
rene204
rene20404.05.18 11:19
hier auch, 2 Emails bekommen, Änderungen der Geschäftsbedingungen....
Gelassenheit und Gesundheit.. ist das wichtigste...
0
globalls
globalls04.05.18 12:51
und auf der Homepage findet sich kein Hinweis dazu
Muss ich denn alles selber machen?
0
Megaseppl04.05.18 13:18
globalls
und auf der Homepage findet sich kein Hinweis dazu

Bei mir kam sogar ein Popup-Div hoch mit Text und Link zur Kennwortänderung.
0
sierkb04.05.18 13:58
seekFFM
Aber Hinweise zum ändern der Passwörter gab es keine?

Doch. Per Firmen-Blog und per email.
globalls
und auf der Homepage findet sich kein Hinweis dazu

Dafür aber u.a. in deren Firmen-Blog (im obigen MTN-Artikel auch verlinkt):

Twitter Blog (03.05.2018): Keeping your account secure


Siehe dazu u.a. auch:

Golem (04.05.2018): Sicherheitspanne: Twitter hat Passwörter unverschlüsselt gespeichert
Die mehr als 330 Millionen Nutzer von Twitter sollen ihr Passwort ändern: Wegen eines internen Sicherheitsfehlers wurden Passwörter im Klartext angelegt, Mitarbeiter des sozialen Netzwerks oder Hacker könnten sie abgegriffen haben.

heise (04.05.2018): Twitter ruft nach Sicherheitspanne zum Passwortwechsel auf
Durch eine Panne wurden bei Twitter intern Passwörter unverschlüsselt abgespeichert. Das Unternehmen empfiehlt eine sofortige Passwortänderung.
0
seekFFM04.05.18 17:22
Ah ja, als bisher haben wir keinen Hinweis erhalten, weder Mail noch Popup. Nun ja, dank mactechnews habe ich es erneuert
0
Dekator
Dekator05.05.18 08:06
Bei mir auch keinerlei Hinweis. Nur Benachrichtigung, dass sich ab dem 25.05. die AGB ändern.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen