Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Twitter patzt bei Passwort-Reset-Funktion

Wenn Nutzer ihr Passwort ändern, sollte das aktive Sitzungen auf allen Geräten beenden. Aufgrund einer fehlerhaften Umsetzung fand das bei Twitter nicht statt.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Twitter,Company,Logo,On,The,Smartphone,Screen,In,A,Dark

(Bild: Ascannio/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Ein Fehler in Twitters Passwort-Änderungs-Prozess konnte dazu führen, dass Sitzungen auf mobilen Geräten aktiv und nutzbar blieben, obwohl sie noch mit dem alten Kennwort authentifiziert waren. Normalerweise sollten alle aktiven Sitzungen bei einer Passwort-Änderung beendet werden. Inzwischen hat das Unternehmen nachgebessert.

Sicherheitsrisiko

Auf den ersten Blick mag das Problem nicht weiter schlimm erscheinen. Wenn jedoch Nutzer ihr Passwort ändern, weil sie etwa den Verdacht haben, dass Fremde ihren Zugang nutzen – hat Twitter sie im Regen stehen und die Angreifer weiter gewähren lassen. In einem Blog-Beitrag schränkt Twitter ein, dass Web-Sessions davon nicht betroffen gewesen seien. Aber aktive Sitzungen auf Mobilgeräten wie Tablets oder Smartphones wurden nicht zwingend gekappt.

Der Fehler habe sich mit Änderungen am für Passwort-Resets zuständigen System im vergangenen Jahr eingeschlichen, erläutert das Unternehmen. Twitter habe die Nutzerinnen und Nutzer informiert, die es als potenziell von dem Fehler betroffen ausmachen konnte. Man habe sie zudem vorsorglich aus allen Sessions auf allen Geräten ausgeloggt und eine Wiederanmeldung gefordert. "Uns ist klar, dass das für einige unbequem sein könnte, aber es war ein wichtiger Schritt, um ihren Zugang sicher und geschützt vor potenziell unerwünschtem Zugriff zu halten", schreibt Twitter.

Zudem empfehle das Unternehmen, dass Nutzer ihre Einstellungen gelegentlich überprüfen. Aktive Sitzungen lassen sich außerdem mit dem Session-Manager von Twitter einsehen und gegebenenfalls beenden.

In Twitters Session-Manager können Nutzerinnen und Nutzer aktive Sitzungen sehen und sie gegebenenfalls beenden.

(Bild: Screenshot)

Sicherheitskultur am Pranger

Twitter steht derzeit ohnehin für seinen Umgang mit der Sicherheit am Pranger. Der ehemalige Sicherheitschef Peiter Zatko erhob in einer Beschwerde bei den Aufsichtsbehörden schwere Vorwürfe gegen das Unternehmen. Der unter dem Namen "Mudge" bekannte Hacker kritisierte die Sicherheitskultur bei Twitter und warf dem sozialen Netzwerk vor, wirtschaftlichen Erfolg und Wachstum des Unternehmens stets vor Sicherheit und Datenschutz der Nutzer zu setzen.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten