Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen

Send to Kindle

Wie aktuell festgestellt wurde, gibt es auf Twitter eine große Sicherheitslücke. Jede Dritt-Anwendung, also alle Anwendungen, die nicht von Twitter selbst zur Verfügung gestellt werden, kann auf private Nachrichten zugreifen, auch wenn der User dazu seine Zustimmung nicht erteilt hat.

Angesichts dieser gigantischen Sicherheitslücke sollten Sie sehr vertrauliche Informationen nicht über Twitter verschicken. Es empfiehlt sich ohnehin, dies nicht über soziale Netzwerke zu tun, sondern über verschlüsselte E-Mails.

Update vom 11. 06. 2011: Twitter hat am 18. Mai 2011 angekündigt, den automatischen Zugriff auf private Nachrichten abzuschaffen, aber noch besteht das Problem. Auf jeden Fall muß sich der Anbieter fragen lassen, warum der automatische Zugriff auf private Nachrichten für alle Dritt-Anwendungen ohne Kenntnis der User überhaupt möglich war. Eigentlich hätte man von Twitter von Anfang eine detaillierte Autorisierung ähnlich wie bei Facebook-Anwendungen erwarten können, die genau abfragt, auf welche Daten die Anwendung zugreifen darf, anstatt einfach davon auszugehen, daß jede Anwendung auf alles Zugriff haben muß und dem User das auch bewußt zu sein hat. Daß irgendwann Dritt-Anwendungen entstehen, die nicht einfach nur zum Twittern verwendet werden, wurde hier offenbar nicht bedacht. Aber selbst bei solchen Anwendungen sollten die User detailliert darüber aufgeklärt werden, auf welche Daten die Anwendung zugreift.

Flattr this!

Facebook Share Twitter Share

7 Reaktionen zu “Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen”

  1. Lars

    Diese »Sicherheitslücke« gibt es, seit Third-Party-Apps und -Dienste Zugriff auf Twitterkonten bekamen.

    Wenn man Twitter über eine »App« und nicht über die Originale Website nutzen möchte, dann gehört Zugriff auf Direct Messages nunmal dazu und ist auch erwünscht.

    Natürlich gibt es auch Dienste, die Zugriff auf Direct Messages nicht benötigen, zum Beispiel wenn sie nur Follower oder Favs analysieren sollen.

    Twitter ist das bewußt und deshab wollten sie kürzlich das Autorisierungssystem entsprechend ändern. Das war allerdings sehr kurzfristig angekündigt worden, sodaß Third-Party-Entwickler mehr Zeit für die Umstelungen brauchten und auch von Twitter bekamen.

    Das neue Autorisierungssystem ist noch nicht aktiv. Daß die Anzeige von Twitter, daß eine App keinen Zugriff auf Direct Messages hätte, erscheint, ist ein Fehler, der sicher mit der Verschiebung zu tun hat.

    Die »Sicherheitslücke« gab es also schon immer bei Twitter. Daß jetzt eine Unterscheidung von Zugriffsrechten und die Information der Nutzer eingerichtet wird, ist sehr zu begrüßen. Daß aktuell die Anzeige nicht paßt, ist ein Bug.

    Wirklich private Informationen gehören nun einmal nicht unverschlüsselt ins Internet. Wie schnell hat man sich beim Schreiben einer Direct Message verklickt und eine öffentliche Nachricht versandt? Oder man denke an den Gerichtsbeschluß der USA gegen Twitter, alle möglichen Daten des Wikileaks-Kontos und dessen Unterstützer und Follower rauszurücken.

  2. Alex

    Danke für die Zusatzinformationen. Ich würde hier Sicherheitslücke dennoch nicht in Anführungszeichen schreiben. Denn letztlich heißt das, daß jeder App, gleich ob sie es brauchte oder nicht, diese Daten jahrelang offenstanden. Dem letzten Absatz kann ich nur absolut zustimmen.

  3. Lars

    Upps, die vielen Rechtschreibfehler bitte ich zu entschuldigen, ich habe den Text auf dem Touchscreen eines Mobilgeräts geschrieben …

    Ich möchte die Gelegenheit nutzen, ein paar Links zu Twitters neuen Permission Levels aufzuführen, da gibt’s dann weitere Informationen (in der Reihenfolge von Allgemeinverständlich bis für Entwickler):

    http://blog.twitter.com/2011/05/mission-permission.html
    https://dev.twitter.com/pages/application-permission-model-faq

    http://groups.google.com/group/twitter-development-talk/browse_thread/thread/e954fc0f8b5aa6ec
    http://groups.google.com/group/twitter-development-talk/browse_thread/thread/e954fc0f8b5aa6ec/dbe591c0088a4b18
    http://groups.google.com/group/twitter-development-talk/msg/a608900f722416b7

  4. Alex

    Danke dir. Und die Rechtschreibfehler hab ich überlesen. Ernsthaft. 😉

  5. Jens Best

    Diese "News" auch noch als "Gigantisch" zu bezeichnen, hat dich gerade nachgaltig als Infoquelle diskretiert.

  6. Alex

    Nein, ich bezeichne nicht die News als gigantisch, sondern die Sicherheitslücke, und dazu stehe ich. Und ich bin mit der Einschätzung auch nicht alleine. Ich zitiere TechCrunch:

    "TechCrunch was contacted by developer Simon Colijn, who hopes to make as many people aware of this privacy issue – or disaster, if you will – as possible. Note: See update from Twitter below."

    und

    "The reason why I think this is in fact a serious privacy fail that shouldn’t be simply swept under the rug: there are currently hundreds of thousands of third-party applications on Twitter, as Twitter itself repeatedly says, and at this point they can all trick you into authorizing their software while you think they will not be able to see your private messages (or do all other sorts of things with them than just view them, like publishing them elsewhere)."

    Ob man das jetzt als "Desaster", "serious privacy fail" oder "gigantisch" bezeichnet, kommt aufs Selbe raus. Es mag ja sein, daß das für Leute, die die Twitter-API kennen, nichts Neues ist. Das macht die Sache aber noch viel schlimmer. Warum wurde von Leuten, die jetzt meckern, das sei nichts Neues, nie darauf hingewiesen und Twitter zum Handeln aufgefordert? Es ist von Entwicklern nicht nur arrogant und überheblich, sondern grob fahrlässig, nicht darüber aufzuklären und stattdessen davon auszugehen, daß dieser Umstand jedem bewußt sein muß. Die allermeisten User sind sich dessen nicht bewußt. Wie auch? Man kann schwerlich von zig Millionen Usern verlangen, die API zu kennen. Wer keine Dritt-Anwendung zum Twittern verwendet, aber z. B. Anwendungen zur Analyse, geht daher doch selbstverständlich davon aus, daß eine Anwendung, die keine privaten Nachrichten analysiert, auch keinen Zugriff darauf bekommt, weil sie den nicht braucht. Wenn trotzdem jede Dritt-Anwendung Zugriff darauf hat, ist das ein massiver Privatsphäre-Eingriff, den man m. E. gut und gerne wie TechCrunch als "Desaster" oder wie ich als "gigantisch" bezeichnen darf. Denn für den normalen User, der bisher davon ausgegangen ist, daß seine privaten Nachrichten zumindest gegenüber Dritt-Anwendungen, die darauf keinen Zugriff brauchen, auch privat bleiben, ist es genau das: ein Desaster. Und für Nerds, die meinen, alle Welt müßte ihren Wissensstand haben, schreibe ich nicht. Es ist schön, daß Twitter das jetzt ändern will, aber es ist ebenso ein Desaster, daß das überhaupt erst am 18.5. angekündigt wurde und der automatische Zugriff so lange möglich war. Und solange das nicht geändert ist, ist und bleibt es ein Desaster für Twitter. Da beißt die Maus keinen Faden ab.

    Also Jens, wenn du das Wissen hattest und es nicht publik gemacht hast, hast du dich am allermeisten selbst diskreditiert. Aber vielleicht zählst du private Twitter-Nachrichten ja auch zum öffentlichen Raum? 😉

  7. Nicklas

    Es liest sich so zynisch wenn Facebook als ein positives Beispiel für Datenschutz angeführt wird 😀

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/

Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen | Privatsphäre und Datenschutz im Web 2.0

Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen

Send to Kindle

Wie aktuell festgestellt wurde, gibt es auf Twitter eine große Sicherheitslücke. Jede Dritt-Anwendung, also alle Anwendungen, die nicht von Twitter selbst zur Verfügung gestellt werden, kann auf private Nachrichten zugreifen, auch wenn der User dazu seine Zustimmung nicht erteilt hat.

Angesichts dieser gigantischen Sicherheitslücke sollten Sie sehr vertrauliche Informationen nicht über Twitter verschicken. Es empfiehlt sich ohnehin, dies nicht über soziale Netzwerke zu tun, sondern über verschlüsselte E-Mails.

Update vom 11. 06. 2011: Twitter hat am 18. Mai 2011 angekündigt, den automatischen Zugriff auf private Nachrichten abzuschaffen, aber noch besteht das Problem. Auf jeden Fall muß sich der Anbieter fragen lassen, warum der automatische Zugriff auf private Nachrichten für alle Dritt-Anwendungen ohne Kenntnis der User überhaupt möglich war. Eigentlich hätte man von Twitter von Anfang eine detaillierte Autorisierung ähnlich wie bei Facebook-Anwendungen erwarten können, die genau abfragt, auf welche Daten die Anwendung zugreifen darf, anstatt einfach davon auszugehen, daß jede Anwendung auf alles Zugriff haben muß und dem User das auch bewußt zu sein hat. Daß irgendwann Dritt-Anwendungen entstehen, die nicht einfach nur zum Twittern verwendet werden, wurde hier offenbar nicht bedacht. Aber selbst bei solchen Anwendungen sollten die User detailliert darüber aufgeklärt werden, auf welche Daten die Anwendung zugreift.

Flattr this!

Facebook Share Twitter Share

7 Reaktionen zu “Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen”

  1. Lars

    Diese »Sicherheitslücke« gibt es, seit Third-Party-Apps und -Dienste Zugriff auf Twitterkonten bekamen.

    Wenn man Twitter über eine »App« und nicht über die Originale Website nutzen möchte, dann gehört Zugriff auf Direct Messages nunmal dazu und ist auch erwünscht.

    Natürlich gibt es auch Dienste, die Zugriff auf Direct Messages nicht benötigen, zum Beispiel wenn sie nur Follower oder Favs analysieren sollen.

    Twitter ist das bewußt und deshab wollten sie kürzlich das Autorisierungssystem entsprechend ändern. Das war allerdings sehr kurzfristig angekündigt worden, sodaß Third-Party-Entwickler mehr Zeit für die Umstelungen brauchten und auch von Twitter bekamen.

    Das neue Autorisierungssystem ist noch nicht aktiv. Daß die Anzeige von Twitter, daß eine App keinen Zugriff auf Direct Messages hätte, erscheint, ist ein Fehler, der sicher mit der Verschiebung zu tun hat.

    Die »Sicherheitslücke« gab es also schon immer bei Twitter. Daß jetzt eine Unterscheidung von Zugriffsrechten und die Information der Nutzer eingerichtet wird, ist sehr zu begrüßen. Daß aktuell die Anzeige nicht paßt, ist ein Bug.

    Wirklich private Informationen gehören nun einmal nicht unverschlüsselt ins Internet. Wie schnell hat man sich beim Schreiben einer Direct Message verklickt und eine öffentliche Nachricht versandt? Oder man denke an den Gerichtsbeschluß der USA gegen Twitter, alle möglichen Daten des Wikileaks-Kontos und dessen Unterstützer und Follower rauszurücken.

  2. Alex

    Danke für die Zusatzinformationen. Ich würde hier Sicherheitslücke dennoch nicht in Anführungszeichen schreiben. Denn letztlich heißt das, daß jeder App, gleich ob sie es brauchte oder nicht, diese Daten jahrelang offenstanden. Dem letzten Absatz kann ich nur absolut zustimmen.

  3. Lars

    Upps, die vielen Rechtschreibfehler bitte ich zu entschuldigen, ich habe den Text auf dem Touchscreen eines Mobilgeräts geschrieben …

    Ich möchte die Gelegenheit nutzen, ein paar Links zu Twitters neuen Permission Levels aufzuführen, da gibt’s dann weitere Informationen (in der Reihenfolge von Allgemeinverständlich bis für Entwickler):

    http://blog.twitter.com/2011/05/mission-permission.html
    https://dev.twitter.com/pages/application-permission-model-faq

    http://groups.google.com/group/twitter-development-talk/browse_thread/thread/e954fc0f8b5aa6ec
    http://groups.google.com/group/twitter-development-talk/browse_thread/thread/e954fc0f8b5aa6ec/dbe591c0088a4b18
    http://groups.google.com/group/twitter-development-talk/msg/a608900f722416b7

  4. Alex

    Danke dir. Und die Rechtschreibfehler hab ich überlesen. Ernsthaft. 😉

  5. Jens Best

    Diese "News" auch noch als "Gigantisch" zu bezeichnen, hat dich gerade nachgaltig als Infoquelle diskretiert.

  6. Alex

    Nein, ich bezeichne nicht die News als gigantisch, sondern die Sicherheitslücke, und dazu stehe ich. Und ich bin mit der Einschätzung auch nicht alleine. Ich zitiere TechCrunch:

    "TechCrunch was contacted by developer Simon Colijn, who hopes to make as many people aware of this privacy issue – or disaster, if you will – as possible. Note: See update from Twitter below."

    und

    "The reason why I think this is in fact a serious privacy fail that shouldn’t be simply swept under the rug: there are currently hundreds of thousands of third-party applications on Twitter, as Twitter itself repeatedly says, and at this point they can all trick you into authorizing their software while you think they will not be able to see your private messages (or do all other sorts of things with them than just view them, like publishing them elsewhere)."

    Ob man das jetzt als "Desaster", "serious privacy fail" oder "gigantisch" bezeichnet, kommt aufs Selbe raus. Es mag ja sein, daß das für Leute, die die Twitter-API kennen, nichts Neues ist. Das macht die Sache aber noch viel schlimmer. Warum wurde von Leuten, die jetzt meckern, das sei nichts Neues, nie darauf hingewiesen und Twitter zum Handeln aufgefordert? Es ist von Entwicklern nicht nur arrogant und überheblich, sondern grob fahrlässig, nicht darüber aufzuklären und stattdessen davon auszugehen, daß dieser Umstand jedem bewußt sein muß. Die allermeisten User sind sich dessen nicht bewußt. Wie auch? Man kann schwerlich von zig Millionen Usern verlangen, die API zu kennen. Wer keine Dritt-Anwendung zum Twittern verwendet, aber z. B. Anwendungen zur Analyse, geht daher doch selbstverständlich davon aus, daß eine Anwendung, die keine privaten Nachrichten analysiert, auch keinen Zugriff darauf bekommt, weil sie den nicht braucht. Wenn trotzdem jede Dritt-Anwendung Zugriff darauf hat, ist das ein massiver Privatsphäre-Eingriff, den man m. E. gut und gerne wie TechCrunch als "Desaster" oder wie ich als "gigantisch" bezeichnen darf. Denn für den normalen User, der bisher davon ausgegangen ist, daß seine privaten Nachrichten zumindest gegenüber Dritt-Anwendungen, die darauf keinen Zugriff brauchen, auch privat bleiben, ist es genau das: ein Desaster. Und für Nerds, die meinen, alle Welt müßte ihren Wissensstand haben, schreibe ich nicht. Es ist schön, daß Twitter das jetzt ändern will, aber es ist ebenso ein Desaster, daß das überhaupt erst am 18.5. angekündigt wurde und der automatische Zugriff so lange möglich war. Und solange das nicht geändert ist, ist und bleibt es ein Desaster für Twitter. Da beißt die Maus keinen Faden ab.

    Also Jens, wenn du das Wissen hattest und es nicht publik gemacht hast, hast du dich am allermeisten selbst diskreditiert. Aber vielleicht zählst du private Twitter-Nachrichten ja auch zum öffentlichen Raum? 😉

  7. Nicklas

    Es liest sich so zynisch wenn Facebook als ein positives Beispiel für Datenschutz angeführt wird 😀

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/