Twitter: Direktnachrichten gestohlen

Während der letzten Tage bekamen einige Twitter-Nutzer eine Benachrichtigung von Twitter zu einem "Fehler, der unsere APIs betrifft". Demnach gab es eine Sicherheitslücke, die dazu genutzt wurde, Direktnachrichten oder geschützte Tweets zu lesen. Offenbar wurden diese privaten Inhalte an Twitter-Entwickler gesendet, die darauf keinen Zugriff hätten haben sollen. Dabei meint "Twitter-Entwickler" nicht etwa die eigenen Angestellten, sondern alle Entwickler, die sich für Twitters Entwicklerprogramm registriert haben, um dessen API zu nutzen.

Nach Aussagen von Twitter traf dieser Missbrauch weniger als 1% aller Nutzer. Er beruht auf einem Fehler, der im Mai 2017 eingeführt und am 10. September 2018 entdeckt wurde. Danach hat Twitter ihn innerhalb weniger Stunden durch ein internes Update behoben. Die betroffenen Nutzer wurden durch Popup-Nachrichten informiert. Allerdings bekamen allem Anschein nach nur die Absender von privaten Direktnachrichten diesen Hinweis, nicht aber deren Empfänger.

Twitter fehlt Ende-zu-Ende-Verschlüsselung

Twitter entschuldigt sich für diesen Fehler. Wer Fragen oder Bedenken bezüglich möglicher Folgen des Security-Problems habe, könne sich über ein Formular an den Datenschutzbeauftragten wenden. Die genaue Ursache und wie sich die Sicherheitslücke konkret ausnutzen ließ, ist nach wie vor nicht bekannt.

Anders als etwa WhatsApp und optional auch Facebooks Messenger bietet Twitter keine Ende-zu-Ende-Verschlüsselung für private Nachrichten. Das bedeutet, dass die Nachrichten auf den Servern des Betreibers im Klartext vorliegen. Schon deshalb sollte man Diensten ohne Ende-zu-Ende-Verschlüsselung generell keine sehr persönlichen oder besonders wichtigen Daten anvertrauen. Ende-zu-Ende-Verschlüsselung wie sie etwa WhatsApp und Signal standardmäßig einsetzen, schützt zwar nicht vor allen Missbrauchsszenarien – aber ein einfaches Mitlesen durch unberechtigte Dritte verhindert es sehr effizient. (ju)