Ashton Kutchers Twitter-Account gehackt
Die fehlende VerschlĂĽsselung der Twitter-Kommunikation hat mit Ashton Kutcher ein prominentes Opfer gefunden.
Der Twitter-Account des Twitter-Promis Ashton Kutcher wurde anscheinend kompromittiert. Unbekannte nutzten offenbar das Fehlen von VerschlĂĽsselung, um die Nachricht "Ashton, you've been Punk'd" an seine ĂĽber 6 Millionen Follower abzusetzen.
Die Hinweise in den Tweets auf das fehlende SSL lassen darauf schließen, dass der Account durch ein Tool wie Firesheep gekapert wurde. Anders als Konkurrent Facebook bietet Twitter derzeit noch keine Option, den Dienst generell über verschlüsselte https-Seiten zu nutzen. Ruft man die reguläre Twitter-Startseite auf, erfolgt die Übertragung des Anmeldepassworts zwar noch verschlüsselt an eine https-Adresse, danach wird der Anwender aber via 302-Redirect wieder auf eine unverschlüsselte Seite zurück geschickt. Somit könnte jemand, der etwa im gleichen WLAN eingebucht war wie Kutcher, dessen Sitzungs-Daten mitgelesen und missbraucht haben, um den Account nach eigenem Gusto zu nutzen. Mit Tools wie Firesheep wird das zum Kinderspiel.
Facebook hat zwar als Reaktion darauf eine Option in den Kontoeinstellungen eingefĂĽhrt, mit der die komplette Kommunikation verschlĂĽsselt ĂĽber https-Server erfolgt. Allerdings schĂĽtzt das nur, wenn man Facebook via Web-Browser benutzt. Facebook-Apps wie die fĂĽrs iPhone ignorieren diese Option komplett und sprechen nach wie vor unverschlĂĽsselt mit dem Facebook-Server. Und wenn man zwischenzeitlich im Browser eines der beliebten Facebook-Spiele nutzt, schaltet Facebook die aktivierte VerschlĂĽsselung ohne viel Federlesens wieder ab.
Wer sich vor derartigen Angriffe schützen will, kann die Firefox-Erweiterung https Everywhere einsetzen, die bei vielen Seiten, auf denen das grundsätzlich möglich ist, auf die https-Version des Web-Angebots wechselt. (ju)