Twitter hat 336 Millionen Nutzer – und alle 336 Millionen werden jetzt dazu aufgefordert, ihr Passwort zu ändern. Grund dafür ist eine jüngst entdeckte Sicherheitslücke, wie Twitter offiziell bekannt gab. Zwar gebe es momentan keine Hinweise, dass Hacker Passwörter abgreifen konnten, dennoch habe man sich zu dieser Sicherheitsmaßnahme entschieden. Das Problem sei bereits behoben, man entschuldige sich aber in aller Form für die Umstände.

Etwas merkwürdig bleibt die genannte Sicherheitslücke aber dennoch. Der Beschreibung zufolge lagen manche Codes unverschlüsselt in einer internen Log-Datei – höchst ungewöhnlich, denn normalerweise wird bei Diensten tunlichst darauf geachtet, nicht mit Klartext-Passwörtern zu hantieren. Die Speicherung darf erst nach dem Verschlüsseln und Errechnen des Hash-Wertes stattfinden, keinesfalls vorher. Auf diese Weise stellt man beispielsweise sicher, dass auch Mitarbeiter das Passwort nicht im Klartext einsehen können. Sollte ein Angreifer Datenbankzugriff erhalten, erhält er ebenfalls keine Kennwörter auf dem Silbertablett, sondern nur für ihn weitgehend wertlose Hashes.


Laut Reuters war die Anzahl der betroffenen Passwörter "substanziell" und die Informationen hätten "monatelang" abgegriffen werden können. Vor einigen Wochen hat Twitter die Regulierungsbehörden gemäß Rechtslage über die Panne informiert. Auf einer speziellen Support-Seite dokumentiert Twitter die peinliche Sicherheitslücke für alle Nutzer und betont noch einmal explizit, dass es keinerlei Anzeichen auf Missbrauch gebe. Als Reaktion auf den schwerwiegenden Fehler habe man nun zusätzliche Sicherheitsmaßnahmen implementiert, die derlei Fehler verhindern sollen. Noch einen weiteren Hinweis gibt Twitter: Wer das Twitter-Passwort nicht nur auf dem Kurznachrichtendienst, sondern auch auf anderen Portalen verwendete, muss es dort selbstverständlich auch ändern... für den unwahrscheinlichen Fall, dass doch unverschlüsselte Passwörter an die Öffentlichkeit oder die Hackerwelt gelangten.