Twitter-Accounts können gestohlen werden
Schwere Sicherheitslücke im Online-Service Twitter
Eine Cross-Site-Scripting-Sicherheitslücke im Kommunikationsservice Twitter haben zwei Fachleute entdeckt. Sie ermöglicht es Angreifern, Twitter-Accounts zu übernehmen.
Die XSS-Lücke ist nach Angaben der Sicherheitsexperten Lance James und Eric Wastl immer noch vorhanden, obwohl die beiden Fachleute Twitter darüber informierten. James und Wastl, die für die Sicherheitsfirme Secure Science tätig sind, haben einen entsprechenden »Proof of Concept« vorgelegt.
Der Angriff erfolgt mithilfe von Web-Links und präparierten Internet-Seiten: Sobald ein Nutzer von Twitter auf eine solche Seite gelangt, etwa durch eine Mitteilung, die einen Link enthält, sind Angreifer in der Lage, den Account des Opfers zu »stehlen«.
Ein Problem besteht laut James und Wastl darin, dass derzeit eine Vielzahl von Tools und Browser-Plug-ins vorhanden ist, mit denen User auf Twitter zugreifen. Etliche von diesen handgestrickten Lösungen weisen Schwachstellen auf.
Dass Cyber-Kriminelle Twitter für sich entdecken, belegen zwei Vorfälle aus den vergangenen drei Monaten: Im Januar wurden die Twitter-Accounts von 33 Prominenten gehackt, darunter diejenigen von US-Präsident Barack Obama und der Pop-Sängerin Britney Spears. Vor knapp zwei Wochen kaperte ein Angreifer 750 Accounts und verschickte über diese Spam-Nachrichten.
Twitter ist ein Online-SMS-Service, mit dem sich Nachrichten mit bis zu 140 Zeichen verschicken lassen. Die Zahl der Nutzer des Dienstes betrug im März nach Angaben diverse Web-Analyse-Firmen und von Forrester Research etwa 6 Millionen. Derzeit gehört Twitter zu den Social-Networking-Plattformen mit den größten Zuwachsraten.
Lesen Sie mehr zum Thema
