Twitter patzt bei Passwort-Reset-Funktion

Wenn Nutzer ihr Passwort ändern, sollte das aktive Sitzungen auf allen Geräten beenden. Aufgrund einer fehlerhaften Umsetzung fand das bei Twitter nicht statt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Twitter,Company,Logo,On,The,Smartphone,Screen,In,A,Dark

(Bild: Ascannio/Shutterstock.com)

Von

Ein Fehler in Twitters Passwort-Änderungs-Prozess konnte dazu führen, dass Sitzungen auf mobilen Geräten aktiv und nutzbar blieben, obwohl sie noch mit dem alten Kennwort authentifiziert waren. Normalerweise sollten alle aktiven Sitzungen bei einer Passwort-Änderung beendet werden. Inzwischen hat das Unternehmen nachgebessert.

Auf den ersten Blick mag das Problem nicht weiter schlimm erscheinen. Wenn jedoch Nutzer ihr Passwort ändern, weil sie etwa den Verdacht haben, dass Fremde ihren Zugang nutzen – hat Twitter sie im Regen stehen und die Angreifer weiter gewähren lassen. In einem Blog-Beitrag schränkt Twitter ein, dass Web-Sessions davon nicht betroffen gewesen seien. Aber aktive Sitzungen auf Mobilgeräten wie Tablets oder Smartphones wurden nicht zwingend gekappt.

Der Fehler habe sich mit Änderungen am für Passwort-Resets zuständigen System im vergangenen Jahr eingeschlichen, erläutert das Unternehmen. Twitter habe die Nutzerinnen und Nutzer informiert, die es als potenziell von dem Fehler betroffen ausmachen konnte. Man habe sie zudem vorsorglich aus allen Sessions auf allen Geräten ausgeloggt und eine Wiederanmeldung gefordert. "Uns ist klar, dass das für einige unbequem sein könnte, aber es war ein wichtiger Schritt, um ihren Zugang sicher und geschützt vor potenziell unerwünschtem Zugriff zu halten", schreibt Twitter.

Zudem empfehle das Unternehmen, dass Nutzer ihre Einstellungen gelegentlich überprüfen. Aktive Sitzungen lassen sich außerdem mit dem Session-Manager von Twitter einsehen und gegebenenfalls beenden.

In Twitters Session-Manager können Nutzerinnen und Nutzer aktive Sitzungen sehen und sie gegebenenfalls beenden.

(Bild: Screenshot)

Twitter steht derzeit ohnehin für seinen Umgang mit der Sicherheit am Pranger. Der ehemalige Sicherheitschef Peiter Zatko erhob in einer Beschwerde bei den Aufsichtsbehörden schwere Vorwürfe gegen das Unternehmen. Der unter dem Namen "Mudge" bekannte Hacker kritisierte die Sicherheitskultur bei Twitter und warf dem sozialen Netzwerk vor, wirtschaftlichen Erfolg und Wachstum des Unternehmens stets vor Sicherheit und Datenschutz der Nutzer zu setzen.

(dmk)