Eine Sicherheitslücke in Twitter erlaubt es offenbar, fremde Kontakte, Freunde und Familie von Twitter-Nutzern auszuforschen. Das Problem dürfte in der Funktion zum Bestätigen von E-Mail-Adressen liegen.
Ein anonymer IT-Experte und Nicht-Twitter-User berichtet, dass er eine Benachrichtigung per E-Mail bekommen hat, dass sich ein Unbekannter aus Marokko mit seiner E-Mail-Adresse bei Twitter anzumelden versuchte. Der Blogger ignorierte die Bestätigungs-E-Mail und versuchte, das Passwort für diesen Account zurückzusetzen. Dabei entdeckte er, dass Twitter trotz der fehlenden Account-Bestätigung dem fremden Nutzer Freunde des E-Mail-Konto-Inhabers anzeigt und vorschlägt, sich mit ihnen zu verbinden. Der Nutzer vermutet, dass diese ihr Adressbuch freigegeben haben und das Twitter jetzt dem Account mit der unbestätigten, fremden E-Mail-Adresse diese Freunde vorschlägt.
Diese Lücke lässt sich leicht missbrauchen. Beispielsweise beim Versuch herauszufinden, welche Freunde und Kunden ein potenzielles Opfer hat, das Twitter nicht benutzt. Diese lassen sich dann für weiteres Hacking oder Social Engineering missbrauchen, schreibt der Blogger. Auch ein Fake-Twitter-Account lasse sich so einfach aufsetzten und rasch mit echt-falschen Followern bestücken.
Offenbar handelt es sich um eine Sicherheitslücke, da die Bestätigung durch den Account-Inhaber nicht abgewartet wird. Der IT-Fachmann berichtet, dass der Twitter-Trick auch dann funktioniert, wenn das Passwort nicht zurückgesetzt werden soll. Auch die Änderung der E-Mail-Adresse eines Twitter-Accounts soll den gleichen Effekt haben.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Twitter-Leck verrät persönliche Kontakte beliebiger Menschen