Twitter-Nutzer in Gefahr? Passwörter im Klartext abgespeichert

Der beliebte Microblogging-Dienst hat kürzlich in einem Blogeintrag zugegeben, dass die Passwörter einiger Nutzer kurzzeitig im Klartext gespeichert wurden. Möglicherweise konnten so Mitarbeiter über interne Tools auf die Passwörter zugreifen. Twitter fordert daher alle Nutzer auf umgehend ihre Passwörter zu ändern.

Das Unternehmen veröffentlichte eine Erklärung, laut der Passwörter die von einem Nutzer für einen Twitter-Account verwendet werden eigentlich nur das Hashwert vorliegen, damit kein Mitarbeiter des Unternehmens die Möglichkeit hat auf die Passwörter zuzugreifen. Ein Fehler sorgte nun dafür, dass Passwörter einiger Nutzer im Klartext in einem internen Protokoll gespeichert wurden.

Laut einem Bericht der Nachrichtenagentur Reuters der sich auf eine interne Quelle beruft, ist die Zahl der betroffenen Twitter-Konten „beträchtlich“. Außerdem wird daraufhin gewiesen, dass die Passwörter über „mehrere Monate“ im Klartext gespeichert wurden. Twitter hat die genaue Anzahl der betroffenen Nutzer nicht veröffentlicht. Da jedoch dem Reuters Bericht nicht widersprochen wurde, ist davon auszugehen, dass die Anzahl der betroffenen Accounts enorm ist.

Kennwort-Hashing-Algorithmus bcrypt

Twitter erklärte, dass Passwörter normalerweise mit dem Kennwort-Hashing-Algorithmus bcrypt gehasht werden, bevor sie gespeichert werden. Das eigentlich Passwort im Klartext wie zum Beispiel „Passwort“ wird so durch zufällige Zahlen und Buchstaben ersetzt und dann im System als „$2a$04$jSCa1F0blGsBSg4UpZHe.e7Hn16kp8dVuzYgogC6hLQkd3NAh92Gy“ gespeichert. Wieso dies bei einigen Kennwörtern nicht geschehen ist, ist noch unklar.

Laut Twitter gibt es derzeit noch „keinen Hinweis auf einen Verstoß oder Missbrauch“ durch einen Mitarbeiter. Ein Twitter-Sprecher erklärte, dass der Fehler bereits behoben wurde. Außerdem erklärte er wiederholt, dass der Fehler „nur mit den internen Systemen zusammenhängt“. Die Passwörter konnten also nicht von Dritten ausgelesen werden, die nicht bei Twitter beschäftigt sind. Da laut Twitter die Wahrscheinlichkeit eines Passwort-Diebstahls sehr gering ist, wird das Ändern des Passworts nicht erzwungen. Auch ein Bericht von ZDNet-USA der sich auf interne Protokolle der Untersuchung bezieht bestätigt, dass die Passwörter an einem unerwarteten Ort gefunden wurden und daher vermutlich von keinem Mitarbeiter bemerkt wurden.

Zweiter Vorfall bei GitHub

Im Februar konnte Twitter den 330 Millionsten Nutzer melden. Der Microblogging-Dienst ist neben GitHub der zweite große Dienst, der diese Woche einen passwortbedingten Fehler einräumt. Auch GitHub hat die Passwörter einiger Nutzer im Klartext abgespeichert. Ob ein Zusammenhang zwischen den Vorfällen besteht ist unklar. Twitter gab auf Nachfrage dazu keine Stellungnahme ab.

Nutzer der Dienste sollten als Vorsichtsmaßnahme ihre Passwörter ändern. Außerdem ist es empfehlenswert seinen Account zusätzlich per Zwei-Faktor-Authentifizierung abzusichern. Diese Option gibt es bei Twitter seit 2013. „Aktivieren Sie die Anmeldeprüfung, auch bekannt als Zwei-Faktor-Authentifizierung. Dies ist die beste Maßnahme, die Sie ergreifen können, um die Sicherheit Ihres Kontos zu erhöhen. Verwenden Sie einen Passwortmanager, um sicherzustellen, dass Sie überall starke, eindeutige Passwörter verwenden.“