Web 2.unsicher
Der Kurznachrichtendienst Twitter hat sich eine Abmahnung der US-Handelsaufsicht eingefangen. Die dabei bekanntgewordenen Sicherheitslücken waren leidlich haarsträubend.
Wie steht's um den Daten- und Nutzerschutz bei großen Social Media-Angeboten? Offensichtlich nicht besonders gut. Der Kommunikationsservice Twitter musste gerade eine dicke Abmahnung der US-Handelsaufsicht FTC hinnehmen. Dabei ging es um sicherheitsrelevante Vorgänge aus dem Jahr 2009, bei denen zahlreiche Accounts von Nutzern gehackt und anschließend zum Verbreiten von gefälschten Botschaften missbraucht wurden.
Die Empfehlungen der FTC lesen sich wie ein Handbuch für IT-Security-Neueinsteiger. Demnach hatte Twitter seine Mitarbeitern beispielsweise nicht angewiesen, schwer zu erratende Passwörter einzusetzen, die diese nur für ihren Administrationszugang und nicht woanders im Web nutzten. Daneben wurden Passwörter im Klartext in persönlichen E-Mail-Konten gelagert und es gab keinen Timer, der Passwörter nach einer Reihe von Fehlversuchen automatisch sperrte. Der Administrationszugang war wiederum über die ganz normale Twitter-Homepage und nicht über eine geschützte Geheim-Seite möglich und die Passwörter änderten sich zu selten. Und als Sahnehäubchen befanden sich sensible Zugangsdaten auch noch in der Hand von Menschen, die sie gar nicht für ihren Job brauchten.
Bei Twitter verteidigt man sich unter anderem mit der Information, zum Zeitpunkt der Hacks vor gut anderthalb Jahren habe die Firma noch aus "weniger als 50 Mitarbeitern" bestanden. Betroffen seien nur "eine geringe Anzahl von Nutzern" gewesen. Blöd nur, wie spektakulär die Liste damals war: Barack Obama, Britney Spears, Journalisten von Sendern wie CNN und diverse Promis mehr.
Bleibt zu hoffen, dass Twitter seine Sicherheitsabteilung mittlerweile deutlich aufgerüstet und sich die FTC-Rüge zu Herzen genommen hat. Die "Strafe" der Behörde für die akute Nutzergefährdung fiel nämlich recht milde aus: Das Unternehmen darf nun 20 Jahre lang "seine Kunden nicht mehr in die Irre führen" (!), was das Ausmaß anbetrifft, mit dem "Sicherheit, Privatsphäre und Vertraulichkeit bewahrt und geschützt werden" – als ob so etwas nicht eh schon ein dickes No-no für einen Netzdienst darstellen würde. Daneben gibt's alle zwei Jahre eine Kontrolle durch einen FTC-Mitarbeiter, that's it. (bsc)
