Twitter hat Nutzer-Passwörter im Klartext abgespeichert

Wie viele der 330 Millionen Konten betroffen sind, hat Twitter nicht mitgeteilt. In einem Blogbeitrag fordert der Microblogging-Dienst seine Nutzer auf, umgehend ihre Passwörter zu ändern.

Twitter hat zugegeben, dass Benutzerpasswörter kurzzeitig im Klartext gespeichert wurden und möglicherweise in internen Tools des Unternehmens den Mitarbeitern zugänglich waren. In einem Blogbeitrag hat der Microblogging-Dienst seine Nutzer aufgefordert, ihre Passwörter umgehend zu ändern.

Twitter (Bild: Twitter)„Wenn Sie ein Passwort für Ihren Twitter-Account festlegen, verwenden wir eine Technologie, die es maskiert, damit es niemand im Unternehmen sehen kann. Aufgrund eines Fehlers wurden Passwörter in ein internes Protokoll geschrieben, bevor der Hash-Prozess abgeschlossen wurde.“, heißt es in einer Erklärung.

Twitter hat nicht mitgeteilt, wie viele Konten betroffen waren, aber Reuters berichtet – unter Berufung auf eine Quelle -, dass die Anzahl der betroffenen Benutzer „beträchtlich“ sei und dass Passwörter für „mehrere Monate“ zugänglich waren.

Twitter-Passwort-Klartext (Screenshot. ZDNet.de)

Es ist unklar, warum Benutzerkennwörter im Klartext gespeichert wurden, bevor sie gehasht wurden. Twitter teilte mit, dass es Benutzerkennwörter mit bcrypt speichert, einem stärkeren Kennwort-Hashing-Algorithmus, die das eigentliche Passwort durch einen zufälligen Satz von Zahlen und Buchstaben ersetzt, die im System von Twitter gespeichert sind.

Umfrage

Schützen Sie Ihre wichtigsten Konten mit einer Zwei-Faktor-Authentifizierung?

Ergebnisse anzeigen

Loading ... Loading ...

Laut Twitter ist der Fehler inzwischen behoben. Eine Untersuchung habe „keinen Hinweis auf einen Verstoß oder Missbrauch“ durch irgendjemanden gezeigt. Ein Sprecher von Twitter wiederholte, dass der Fehler „nur mit unseren internen Systemen zusammenhängt“, kommentierte den Vorfall aber nicht weiter.

Eine Quelle, die mit der laufenden Untersuchung vertraut ist, sagte ZDNet-USA, dass das interne Protokoll, in dem versehentlich Klartext-Passwörter von Benutzern protokolliert wurden, an einem obskuren Ort gefunden wurde, und es wird angenommen, dass die Wahrscheinlichkeit, dass es jemand gefunden hat, gering ist. „Da dies kein Verstoß ist und unsere Untersuchung keine Anzeichen von Missbrauch gezeigt haben, erzwingen wir kein Zurücksetzen des Passworts“

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

Das Unternehmen hatte im Februar 330 Millionen Nutzer gemeldet. Twitter ist das zweite Unternehmen, das diese Woche einen passwortbedingten Fehler zugibt. GitHub teilte am Dienstag mit, dass es auch die Klartext-Passwörter einiger Benutzer abgespeichert habe. Es ist nicht bekannt, ob die beiden Vorfälle zusammenhängen. Ein Twitter-Sprecher hat auf eine entsprechende Anfrage dazu nicht Stellung genommen.

Zwei-Faktor-Authentifizierung aktivieren

Um ein Konto gegenüber solchen Vorfällen zu schützen, ist es empfehlenswert, es mit einer Zwei-Faktor-Authentifizierung abzusichern. Eine solche Möglichkeit bietet Twitter seit 2013 an und empfiehlt dieses Verfahren auch. „Aktivieren Sie die Anmeldeprüfung, auch bekannt als Zwei-Faktor-Authentifizierung. Dies ist die beste Maßnahme, die Sie ergreifen können, um die Sicherheit Ihres Kontos zu erhöhen. Verwenden Sie einen Passwortmanager, um sicherzustellen, dass Sie überall starke, eindeutige Passwörter verwenden.“

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

VERANSTALTUNGSHINWEIS

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Twitter, Zwei-Faktor-Authentifizierung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Twitter hat Nutzer-Passwörter im Klartext abgespeichert

Kommentar hinzufügen
  • Am 4. Mai 2018 um 13:14 von Stefan

    Ich habe mein Passwort geändert, bin aber in der offiziellen Twitter-App weiterhin auf diversen Geräten mit dem alten Kennwort angemeldet. Bei anderen Diensten muss ich mich nach einer Passwortänderung Überfall neu anmelden. Keine Ahnung, ob das wirklich ein Sicherheitsrisiko ist, aber es fühlt sich „unsicher“ an.

    • Am 4. Mai 2018 um 16:44 von Klaus ein anderer

      Abmelden, und in der Twitter-App auf jedem Gerät neu anmelden. Da klemmt etwas, klingt jedenfalls nicht normal.

  • Am 4. Mai 2018 um 15:29 von tom

    @Stefan

    Das kann ich nicht bestätigen. Sicher, dass nicht der Flugmodus aktiv ist? Nach der Passwortänderung Twitter-App muss an allen Geräten das Passwort eingegeben werden.

  • Am 6. Mai 2018 um 21:58 von Marius

    Passwort im Klartext! Ich hatte auch mal nach der Ursache von Login-Problemen mancher Benutzer bei unserem Webshop gesucht. Aber das Passwort habe ich trotzdem nicht geloggt. Kürzlich habe ich in Quellcode von jemand anders gesehen. Da wurde wurde nur der Hashcode der Passworts geloggt um Login-Probleme zu finden. Aber sowohl ich als auch der andere Entwickler sind ja nur nicht mehr ganz so junge Entwickler, die alle noch „German Angst“ haben. Solche Leute stellt man bei einem hippen, weltweit operierenden Unternehmen wie Twitter nicht ein.
    Natürlich kann es auch Absicht gewesen sein. Denn „obskuren Ort“ könnte auch „toter Briefkasten“ bedeuten, also ein Platz an dem es einer hinlegt damit es ein anderer irgendwann abholt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *