Archive for Juli, 2009

Sicherheitsrisiko bei Twitter: OAuth

Montag, Juli 20th, 2009

Eine kleine Warnung an alle Inhaber eines Twitter-Accounts: Wenn man nicht aufpasst kann es leicht passieren dass man dritten den Zugriff auf seinen Twitter Account erlaubt. Dann hilft es nicht einmal, sein Passwort zu ändern.

Kürzlich machte ein Scherz auf Twitter die Runde, bei dem man durch ein paar Fragen ermitteln konnte, welche Muppets-Figur einem am ählichsten ist. Das Ergebnis wurde dann automatisch getwittert. Was vielen nicht auffällt: Der Herausgeber ROFLquiz nutzt hierzu die OAuth-Schnittstelle von Twitter, d.h. durch einen Mausklick erlaubt man ROFLquiz den vollen Zugriff auf alle Twitter-Funktionen. Somit können sie automatisch eintragen dass man ihnen Followen will, und später jederzeit wieder unter falscher Identität Twittern.

Um zu kontrollieren, ob man versehentlich dritten einen Zugang gewährt hat muss man nur http://twitter.com/account/connections aufrufen. Dort finden sich alle per OAuth freigeschalteten Fremdanwendungen. Bei mir ist es nur Adium, mein Instant-Messenger unter MacOS X. Bei anderen habe ich dort schon neben dem genannten ROFLquiz eine Kampagne zu den Aufständen im Iran gefunden…