Social-Engineering und das leidige Thema mit dem Twitter-Passwort-Reset

Veröffentlicht: 8. Mai 2014 in IT-Security
Schlagwörter:, ,

„◾Suche nicht nach Fehlern, suche nach Lösungen.“ – Henry Ford

Wie bereits im Beitrag Twitter-Passwortrecovery im Jahr 2012 von mir erwähnt, halte ich absolut nichts von der Art und Weise, wie Twitter es zulässt, sein Passwort zurück setzen zu können. Dabei geht es nicht darum dass es diese Funktion gibt, sonder darum, dass man so sehr einfach an gültige und personenbezogene Mailadressen (und sogar Telefon- nummern!) heran kommen kann.

Testweise habe ich mir ein paar Promi-Accounts auf Twitter vorgenommen und recherchiert, welche Domains die Promis so registriert haben. Mit dieser Liste und ein paar Standardwerten (wie Info@, webmaster@, twitter@, socialmedia@) und Namensfragmenten der Promis habe ich dann auf gültige E-Mailadressen geprüft.

Die Trefferquote war so erschreckend hoch, dass ich zu diesem Beitrag hier schon fast gezwungen war….

Hier ein Screenshot, in dem ich die (offenbar auch private) Mailadresse (eines bekannten deutschen Rappers) natürlich unkenntlich gemacht habe:
[UPDATE] Auch die E-Mailadresse von Papst Franziskus ist inzwischen für Twitter gefunden und bestätigt!

*** Ich fordere nochmals mit Nachdruck auf die Spielerein an Accounts von fremden Personen, mit den aus diesem Blog gewonnen Informationen, zu unterlassen! ***

Berliner-Rapper-ThisIs

 

Es ist nichts falsch daran eine Funktion zum Rücksetzen des Passwort anzubieten, aber dann prüft man das doch bitte in gar keinem Fall öffentlich zur Schau gestellt gegen die eigene Datenbank?!?!

Es gibt aber (bedingt) Abhilfe in Form von erweiterten persönlichen Angaben, um überhaupt das Kennwort schlussendlich ändern zu können:

Twitter-Security

Wenn jetzt jemand damit kommt, dass man bei Twitter ja durchaus auch die Suche nach der eigenen Person anhand der E-Mail-Adresse abschalten kann, dann sei gesagt, dass dies KEINE Voreinstellung bei Twitter und mein Hauptkritikpunkt an Twitter in diesem Bereich ist!

Twitter-Security E-Mailadresse

– Was genau kann jemand mit meiner Mailadresse schon anfangen? Wo ist also das Problem?

Das Problem entsteht, wenn diese Mailadresse z.B. von Fans zugespamt wird, weil man dahinter den direkten Draht zu seinem Idol (Promi) vermutet. Die weitere Gefahr dahinter ist, dass nun gezielt Mails mit fragwürdigem Inhalt (z.B. gezielten Links zu einem vermeintlichen Twitter-Login) an diese Mailadressen übersendet werden könnten.

Und solche Mails sind heute von Profis wirklich gut,….nein sogar SEHR gut – gemacht!

Warum sich also freiwillig einem erhöhten Risiko aussetzen? Um beim Eingangszitat zu bleiben:

Suche nicht nach Fehlern, suche nach Lösungen“ – Twitter sollte die Suche anhand der Mailadresse voreingestellt abschalten. Und die User sollten optional frische und sonst nicht gemeinhin bekannte oder leicht erratbare Mailadressen für den Account auf Twitter verwenden. Bei den Promis und den dahinter stehenden PR-Firmen sollte das bei den ganzen Domains doch wohl im Hostingpaket enthalten sein….. ;-)

<Sarkasmus>
An dieser Stelle einen schönen Gruß an die Promis, deren Mailadressen ich so sammeln konnte ;-/
</Sarkasmus>

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s