OAuth “Hintertür” bei Twitter zusätzlich schließen

Geschrieben von Sebastian Klipper am 6. November 2009. Berichten Sie über diesen Beitrag via Twitter oder Xing.

OAuth ermöglicht es Diensten Zugang zu einem Twitter -Account zu gewähren, ohne dass man dem Anbieter sein Passwort anvertrauen muss. Diese Erlaubnis bleibt auch bestehen, wenn man sein Passwort ändert.

Terence Eden änderte sein Twitter-Passwort, weil man  ihn warnte, dass es  möglicherweise kompromittiert worden sei. In seinem Blog berichtet er, dass die OAuth-Anmeldung nach wie vor funktionierte.

Das OAuth Verfahren muss man bei Twitter für das eigene Twitter-Profil freischalten. Warum ist das problematisch? Ein Angreifer, der im Besitz des Passworts ist kann sich so eine Hintertür installieren und auch nach dem Passwortwechsel weiterhin auf das Profil zugreifen. 

Um dieser Gefahr zu begegnen, sollte man die OAuth Einstellungen im Twitter-Account nach dem Passwortwechsel ebenfalls überprüfen und gegebenenfalls zurücksetzen.

Kategorie: Angriff, Schwachstellen, Szene, Verteidigung, Vorfälle.
Tags: .

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.