Ashton Kutchers Twitter-Account gehackt
Die fehlende Verschlüsselung der Twitter-Kommunikation hat mit Ashton Kutcher ein prominentes Opfer gefunden.
Der Twitter-Account des Twitter-Promis Ashton Kutcher wurde anscheinend kompromittiert. Unbekannte nutzten offenbar das Fehlen von Verschlüsselung, um die Nachricht "Ashton, you've been Punk'd" an seine über 6 Millionen Follower abzusetzen.
Die Hinweise in den Tweets auf das fehlende SSL lassen darauf schließen, dass der Account durch ein Tool wie Firesheep gekapert wurde. Anders als Konkurrent Facebook bietet Twitter derzeit noch keine Option, den Dienst generell über verschlüsselte https-Seiten zu nutzen. Ruft man die reguläre Twitter-Startseite auf, erfolgt die Übertragung des Anmeldepassworts zwar noch verschlüsselt an eine https-Adresse, danach wird der Anwender aber via 302-Redirect wieder auf eine unverschlüsselte Seite zurück geschickt. Somit könnte jemand, der etwa im gleichen WLAN eingebucht war wie Kutcher, dessen Sitzungs-Daten mitgelesen und missbraucht haben, um den Account nach eigenem Gusto zu nutzen. Mit Tools wie Firesheep wird das zum Kinderspiel.
Facebook hat zwar als Reaktion darauf eine Option in den Kontoeinstellungen eingeführt, mit der die komplette Kommunikation verschlüsselt über https-Server erfolgt. Allerdings schützt das nur, wenn man Facebook via Web-Browser benutzt. Facebook-Apps wie die fürs iPhone ignorieren diese Option komplett und sprechen nach wie vor unverschlüsselt mit dem Facebook-Server. Und wenn man zwischenzeitlich im Browser eines der beliebten Facebook-Spiele nutzt, schaltet Facebook die aktivierte Verschlüsselung ohne viel Federlesens wieder ab.
Wer sich vor derartigen Angriffe schützen will, kann die Firefox-Erweiterung https Everywhere einsetzen, die bei vielen Seiten, auf denen das grundsätzlich möglich ist, auf die https-Version des Web-Angebots wechselt. (ju)
