Wer einer von über 330 Millionen Twitter-Nutzern ist, sollte sein Twitter-Passwort jetzt ändern. Der leitende CTO des sozialen Netzwerks, Parag Agrawal, gab bekannt, dass das Unternehmen einen Fehler gefunden hat. Offenbar wurden Passwörter im Klartext in einer Log-Datei protokolliert.
Er erklärte, dass Twitter den Bug bereits behoben hat und weitergehende Untersuchungen kein weiteres Datenleck oder einen Missbrauch offenbarten.
Dennoch rät der Twitter-CTO vorsichtshalber dazu, das Twitter-Passwort zu ändern. Das gilt für Twitter selbst, als auch für alle Online-Dienste auf die durch das soziale Netzwerk zugegriffen wird.
Es gibt keine Aussagen darüber, wie viele User letztendlich von dem Datenleck betroffen sind. Reuters zitiert eine dem Unternehmen nahestehende Person mit den Worten, dass es wohl um eine "erhebliche Anzahl kompromittierter Accounts" ginge und das die Login-Daten "monatelange" offenlagen.
Was ist bei Twitter passiert?
Zunächst ein bisschen Theorie: Für Webseiten-Betreiber ist es gängige Praxis, Passwörter nicht in Klartext zu speichern, sondern verschlüsselt via Hash. Durch das Hashing wird ein Passwort in eine völlig zufällige Mischung aus Zeichen umgewandelt. Wichtig ist, dass dieser Prozess nur in eine Richtung funktioniert, d.h. der Hash-Wert kann nicht wieder in das entsprechende Passwort umgewandelt werden. Um Kennwort-Angriffe noch zu erschweren, bedient man sich einem "Salt". Hierbei fügt man zu einem Kennwort zufällige Zeichen hinzu.
Twitter erklärt, dass es den starken Hashalgorithmus "bcrypt" verwendet, um Passwörter zu verschlüsseln. Ein Systemfehler führte jedoch dazu, dass Passwörter in ein internes Protokoll im Klartext geschrieben wurden, bevor der Hash-Vorgang abgeschlossen wurde.
"Wir haben den Fehler selbst bemerkt, die Passwörter entfernt und arbeiten nun an einem Plan, wie so etwas in Zukunft verhindert wird." Twitter betont, dass es keinen Grund zur Annahme gibt, dass "Passwortinformationen das Twitter-Systeme jemals verlassen haben oder die Daten von irgendjemand missbraucht wurden".
Zudem gibt Twitter den Benutzern noch mehr Tipps mit auf den Weg, als nur ihr Passwort zu ändern. Zu den Empfehlungen gehört beispielsweise auch die Aktivierung der Zwei-Faktor-Authentifizierung (auf Twitter "Login-Verifizierung" genannt) und die Verwendung eines Passwort-Managers zur Erstellung eines starken und eindeutigen Passworts für jeden Online-Service.
In der Twitter-Angelegenheit schwingt ein wenig Ironie mit, gerade weil das Unternehmen das Missgeschick am World Password Day offenbarte.
Anfang dieser Woche gab das Code-Repository GitHub ein ähnliches Datenleck bekannt. Auch dort fand man einen Fehler, bei dem Benutzerpasswörtern versehentlich im Klartext gespeichert wurden.
Weiterführende Artikel rund um das Thema "Passwort":
https://www.welivesecurity.com/deutsch/2016/05/06/warum-die-passphrase-besser-als-das-passwort-ist/
https://www.welivesecurity.com/deutsch/2015/04/16/infografik-alternativen-zu-passwortern/
https://www.welivesecurity.com/deutsch/2015/06/10/diebstahl-passwort-hashes-ist-nicht-genug/