Mein (inaktiver) Twitter-Account wurde gestern gehackt und das Passwort wurde vom Angreifer (IP aus den USA) geändert. Wie konnte das passieren nachdem Twitter erst einen Code zum login verlangt hat und dann ja auch offensichtlich erkannt hat, dass es sich um einen unüblichen Anmeldeversuch handelt? Jemand ne Erklärung?
Ich hab das Passwort meines E-Mail Accounts auch mal vorsichtshalber geändert, gehe aber nicht davon aus, dass der auch gehackt wurde, da außer von Twitter nix verdächtiges kam. Twitter-Acc hab ich natürlich mittlerweile zurück.
Hättest du SMS als 2FA? Das wurde zu einem Premium Feature für Twitter Blue.
Sicherheit als Premiumfeature.
KAPITALISMUS YAY!
SMS versenden kostet tatsächlich Geld. Zudem gibt es ja noch andere (zT kostenlose) Möglichkeiten, die zudem auch noch sicherer sind. Von daher empfinde ich es als eher weniger problematisch.
problematisch wäre halt wenn ein User das aktiv hatte und man es ohne Zustimmung abschaltet
deleted by creator
Ja
deleted by creator
Das ist einfach kalte Berechnung von Musk. Es ist ein populäres feature das ein klein wenig kostet und ja nur “optional” ist. Also will er Geld dafür.
Session Hijack möglich?
Weiß jetzt nicht im Detail wie das funktioniert, aber eingeloggt war ich da seit nem Monat nicht mehr und Cookies, Cache und aktive Logins werden bei mir mit beenden von Firefox gelöscht.
Evtl. noch irgendwelche Apps die Zugriff auf den Account hatten?
Aber er sagte inaktiv, wie soll da noch eine session laufen?
Dann sollte eigentlich kein Anmeldeversuch stattfinden. Außerdem sollte für eine Passwortänderung das alte nötig sein. Aber wer weiß schon auf welchen Servern Elon seine Unwesen getrieben hat.
Ich weiß nicht wie Twitter es nach Musk handhabt, aber bei nicht wenigen Diensten, die eine Telefonnummer als Bestätigung fordern, repräsentiert letztere die Identität des Nutzers. Wer also die Nummer besitzt, dem wird auch die Kontrolle über den Account oder die Registrierung gegeben. Das heißt, du kannst entweder den Account oder den Login einschließlich des App 2FA zurücksetzen. Bei Whatsapp oder Telegram ist das z.B. so.
edit: ps: sms 2fa ist unsicherer und dient vor allem dazu nummern zu sammeln, verbreitet also keinen Unsinn.
Es kann auch durchaus sein das der Support mist gebaut hat. Das ist mir mal bei meinem Battle.net Account passiert, dort hat ein Support Mitarbeiter fälschlicher weise meinen Account (inklusive 2FA) für eine andere Person zurückgesetzt. Hat sich relativ schnell geklärt und könnte auch hier der Fall sein.