Eine Twitter-Odyssee

Eine Twitter-Odyssee

Dominik Bärlocher
von Dominik Bärlocher
Lesezeit: 11 Minuten

Dies ist die Geschichte des Tages, an dem Twitter einen Lockout auf mein Konto gelegt hat. Während der digitalen Irrfahrt mit dem Versuch, mein Konto zurück zu erlangen, habe ich viel entdeckt. Zum einen, wie ein Sicherheitsleck den ganzen Lockout nutzlos macht und zum anderen, wie Twitter seine Nutzerzahlen künstlich in die Höhe schreibt. Hier nun die Geschichte, wie der kleine blaue Vogel funktioniert.

Zwitscher weiter, kleines Vögelchen!

Mittagspause. Alles ist super. Ich esse mein Lunch, setze mich an meinen Computer und denke mir “Hey, ich sollte irgendwas twittern”. Im Normalfall bedeutet das, dass ich irgendwo ein lustiges Bild suche und das dann poste. Oder den Namen eines Rennpferdes. Oder die Pointe eines Witzes, ohne den Witz zu erzählen. Ich weiss nicht wieso, aber meine Follower mögen das. Wir leben in seltsamen Zeiten.

Nun denn, auf nach Twitter. Doch anstelle meines üblichen Screens wo ich Tweets tweeten kann und sehe, was die Leute, denen ich folge, so zu allerlei meinen, begrüsst mich weisser Bildschirm. Darauf teilt mir Twitter mit, dass sie den Verdacht hegen, jemand anders verwende mein Konto. Ein kurzer Moment der Panik überkommt mich, in dem ich überlege, was die Folgen sein könnten, wenn jemand mein Twitter-Konto übernehmen würde. Ich stelle fest: Keine. Weil ich habe, vor vielen Jahren und vor etwa 1000 Tweets, Vorkehrungen getroffen. Hier meine Vorkehrungen, die einfacher nicht sein könnten:

Also gibt es für einen bösen Hacker gar nichts zu holen. Zumindest wenn es um Inhalt oder Information geht. Inhaltlich gesehen dürfte jeder Tweet, den der Hacker absetzt, wohl sogar eine Verbesserung darstellen, da er oder sie nur etwas Sinnvolles posten muss, damit mein Twitter Account gut wird. Das wäre zwar meinem bisherigen Tweet-Konzept nicht gerade dienlich, aber dennoch eine Verbesserung, wenn es um alles andere geht.

Trotzdem: Irgendwie ist mir mein Twitter-Account ans Herz gewachsen. Also versuche ich, mein Konto mit der Account-Recovery-Funktion Twitters zurückzubekommen. Das Ding sieht einfach aus. Zwei Felder. Eines für meine Mail-Adresse oder meine Mobiltelefonnummer, das andere für meinen Usernamen. Die E-Mail-Adresse, die ich damals für meine Anmeldung benutzt habe, existiert nicht mehr. Daher bleibt mir wohl nur noch die Telefonnummer. Doch vor langer Zeit habe ich mal beschlossen, dass ich nirgends meine Telefonnummer angeben werde, wenn es um Social Media geht. Es ist zwar naiv, zu denken, dass Facebook, Twitter und Google+ meine Telefonnummer nicht haben oder einfach erlangen könnten, aber ich fühle mich mit etwas mehr Privatsphäre umgeben.

Der unsaubere Lockout, oder: Das Grosse Loch in Twitters Security

Theoretisch ist ein Lockout ein Mechanismus, der deinen Account komplett einfriert. Dies hält an, bis du Twitter oder demjenigen, der den Lockout ausgelöst hat, beweist, dass du wirklich du selbst bist. Bis dahin kriegt keiner Zugang zu deinem Account. Dies geschieht, damit keiner an deinem Account rumpfuschen kann. Bei Twitter wäre das der Fall, dass der Angreifer böse Sachen in deinem Namen tweetet und du dann gesperrt wirst. Dies ist zwar im grösseren Kontext des realen Lebens und dem Fortbestand der menschlichen Rasse komplett bedeutungslos, kann aber zu einem grösseren Image-Problem führen. Du könntest Followers und Glaubwürdigkeit verlieren. In der heutigen Welt ist das wichtig.

Daher würde es durchaus Sinn ergeben, wenn Twitter deinen Account blockieren würde, oder? Tun sie aber nicht. Nach dem Lockout war es mir nicht mehr möglich, via www.twitter.com auf meinem Desktop-Computer auf meinen Account zuzugreifen. Der Lockout-Screen erscheint. So weit, so gut. Die Frage nach Mail-Adresse oder Telefonnummer erscheint. Mehr dazu aber später, denn jetzt reden wir über ganz Grundlegendes. Und bis jetzt scheint alles recht sicher.

Nur: Ich wurde vor drei Wochen mit dem Lockout belegt und habe ihn bis dato noch nicht aufgehoben. Dennoch kann Twitter nach wie vor ungehindert nutzen. Und zwar von meinem Telefon aus. Warum?

Der Grund für den unsauberen Lockout ist das OAuth-Token. Twitter benutzt den Autorisierungsmechanismus OAuth um anderen Applikationen Funktionen des sonst geschützten Accounts zu ermöglichen. Im Falle von Twitter bedeutet das, dass die Twitter-App auf meinem Telefon von mir einmalig die Erlaubnis erhält, meinen Feed zu lesen, Tweets zu posten und auf andere Funktionen zugreifen zu dürfen. Dieses Token ist immer noch als valid akzeptiert und so lange das so bleibt, kann ich mit meinem Telefon weitertweeten, mein Passwort ändern und so weiter.

Im grossen Ganzen ist es wesentlich einfacher, sich über ein Mobiltelefon unberechtigt Zugriff zu verschaffen als über einen PC. Machen wir mal ein ganz einfaches Gedankenspiel, um festzustellen, wie schwerwiegend dieses Problem mit dem OAuth-Token ist. Wie oft hast du die Sätze “Ich habe mein Handy verloren” oder “Mir ist mein Handy geklaut worden” im Vergleich zu “Ich habe meinen Computer verloren” oder “Mir ist mein Computer geklaut worden” gehört? Daher mag das zwar technologisch gesehen keine allzu schlimme Sache sein, aber wenn du menschliches Verhalten in die Sicherheit mit einbeziehst – was du übrigens immer tun solltest, wenn du einen Dienst wie Twitter betreibst – ist das ein komplett nutzloser Lockout.

Also schaue ich mal nach, was Twitters Infoseite zu OAuth zu sagen hat:

Wir setzen derzeit kein Ablaufdatum für Access Tokens. Ihr Access Token wird dann invalid werden, wenn ein User dieses explizit ablehnt. Dies geschieht in Ihren Einstellungen oder wenn ein Twitter Admin die Applikation sperrt.

Wenn ich also ein valid Token habe, das unter Umständen mehrere Jahre alt sein kann, kann ich ungehindert weiter tweeten, ungeachtet allfälliger Lockouts, die allenfalls auf meinem Konto ausgeführt werden.

Der Härtetest.

Natürlich will ich wissen, wie gross diese Sicherheitslücke ist. Glücklicherweise haben wir im Büro genug Smart Devices für genau solche Tests zur Verfügung. Ich schnappe mir also eines der iPhones und installiere die Twitter-App darauf. Mals sehen, ob ich den Lockout umgehen kann indem ich ein neues OAuth Token auf einem anderen Gerät anfordere.

Nach einigen Versuchen mit Variationen meines Usernamens – mit @ vorangestellt und ohne – und dem Test mit der nicht mehr existenten Mail-Adresse steht fest… Nichts. Ein Account mit Lockout erhält kein neues Token mehr, so weit ich das mit diesem kleinen Test feststellen kann. Wenn ich jetzt aber in der Lage wäre, dieses Token zu fälschen, dann könnte ich weiter auf meinen Twitter-Account zugreifen, von jedem Gerät aus, auch lange nach dem Lockout.

Aber, und das gebe ich zu, ein Token zu fälschen wäre eine Menge Arbeit, wenn ich das mit all den anderen Methoden vergleiche, wie ich an meinen Account kommen könnte. Ausserdem ist der Angriffswinkel komplett uninteressant, da er voraussetzt, dass der Angreifer meine Logindaten bereits kennt. Und wenn der Angreifer diese kennt, dann hätte er keinen Grund, einen Lockout zu erzwingen, sich ein weiteres Telefon oder ein Tablet zu ergattern, das Passwort zu ändern, mein Passwort zu ändern und dann meinen Account zu übernehmen.

Die Rückeroberung, oder: Wie Twitter seine Nutzerzahlen hoch hält

Also versuche ich, meinen Account zurück zu erhalten, weil ich doch gerne weiterhin die Pointen von Witzen und die Namen von Rennpferden posten würde. Ich weiss schon gar nicht mehr, wo ich die Idee her habe. Ich gebe aber Alan Partridge die Schuld. Nun denn, auf geht’s. Die E-Mail-Adresse, die ich damals verwendet habe gehört zu einer Domain, die mir einst gehört hat. Also blieb mir wohl nichts anderes übrig, als Twitter meine Telefonnummer zu geben, was ich wirklich nicht tun will.

Glücklicherweise steht das Internet mit einer recht schlauen Lösung parat. Websites, die Mobiltelefonnummern gratis bereitstellen sind offensichtlich etwas, das existiert. Allerdings sind diese Seiten mit Vorsicht zu geniessen. Alle SMS, die auf diese Nummern eingehen sind öffentlich und es ist nicht ganz klar, wer diese Seiten betreibt. Aber die Site, auf die ich oben gelinkt habe, funktioniert und scheint auch rege genutzt zu werden. Blöd nur, dass im Falle von Twitter die Telefonnummer bereits vor dem Lockout hinterlegt werden musste. Daher sind wohl alle meine Chancen futsch: Mein Pointen/Rennpferd-Account ist ein Ding der Vergangenheit.

Es gibt noch eine letzte Möglichkeit, meinen Account zu retten: Den Kontakt zu Twitters Support Team. Aber das geht laut den Betreibern Tage und die E-Mail-Adresse des Accounts muss erreichbar sein. Das ist das Aus für meinen alten Account.

Nun denn, auf zu neuen Ufern. Ein neuer Account muss her. Klar, meine Follower sind für immer weg und meine Tweets sind auch futsch. Adieu, ihr bedeutungslosen Internet-points. Ich rechne mit der normalen Login-Form: Wähle deinen Nick, gib deinen echten Namen an, die Mail-Adresse, die Telefonnummer (optional), Geburtsdatum und allerlei anderes, das – korreliert mit deiner Posting-History und cleverem Marketing – als Werbeeinnahmen für Twitter endet. Aber ich liege falsch. Alles, was Twitter wissen im ersten Schritt wissen will ist mein voller Name, eine gültige Mail-Adresse und ein Passwort. Der Rest wird von Twitter selbst übernommen. Das einzige, das ich eventuell noch selbst machen muss, ist mir ein Handle auszudenken. Und natürlich die Validierung meiner E-Mail-Adresse, das natürlich anonym geschehen kann.

Es ist offensichtlich, wieso das so gemacht wird: Die Nutzerzahlen bleiben hoch und werden immer höher. Laut Twitter hat der Service 255 Millionen User. Die Zahlen sind aber heisses Diskussionsthema, da Twitter diese nicht in regelmässigen Abständen publiziert. Andere Websites sprechen von 645 Millionen User und 135 000 neuen Usern pro Tag. Das klingt zwar ziemlich unwahrscheinlich, ist aber durchaus realistisch. Weil, wenn wir nachrechnen, dauert es 149.26 Jahre bis jeder Mensch auf dem Planeten einen Twitter-Account hat, angenommen der Wachstum mit 135 000 pro Tag wie auch die Weltbevölkerung mit 8 Milliarden bleiben konstant. Aber die Zahl wird künstlich aufgebauscht, indem es Menschen, Organisationen und Firmen gibt, die mehr als einen Account haben. Das klingt, natürlich, nach mehr Werbepotential für clevere Marketingleute.

Zusammenfassung

Twitter ist alles andere als konsequent wenn es um Lockouts geht. Ihre OAuth-Tokens bleiben auf unbestimmt valid. Diese Tokens sind Pflicht für alle Drittapplikationen die auf Twitter zugreifen wollen. Dies kann zu einem Sicherheitsrisiko werden, auch wenn es ein recht unwahrscheinliches Szenario ist, vor allem in Anbetracht der Tatsache, dass die Erstellung eines neuen Accounts erschreckend einfach ist. Twitter macht es sich zur Aufgabe, ihre Nutzerzahlen hoch und wachsend zu halten. Dies wohl aus Profitgründen.

Und mein alter Account? Der wird wohl auf meinem Mobiltelefon aktiv bleiben. Bis mein Handy das zeitliche segnet.

Über den Autor

Dominik Bärlocher

Der Journalist Dominik Bärlocher ist seit 2006 im IT-Bereich tätig. Während seiner Arbeit als Journalist bei grossen Schweizer Zeitungen sind ihm seine Recherchefähigkeiten und seine IT-Affinität immer wieder zu Hilfe gekommen. Bei scip AG führt er OSINT Researches durch und betreibt Information Gathering.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv