this post was submitted on 23 Jun 2023
21 points (100.0% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

[email protected]

[email protected]

[email protected]

[email protected]

founded 1 year ago
MODERATORS
[email protected]
21
Gehackt trotz 2-Faktor-Auth.? (feddit.de)
submitted 1 year ago by [email protected] to c/[email protected]
14 comments fedilink hide all child comments
 

Mein (inaktiver) Twitter-Account wurde gestern gehackt und das Passwort wurde vom Angreifer (IP aus den USA) geändert. Wie konnte das passieren nachdem Twitter erst einen Code zum login verlangt hat und dann ja auch offensichtlich erkannt hat, dass es sich um einen unüblichen Anmeldeversuch handelt? Jemand ne Erklärung?

Ich hab das Passwort meines E-Mail Accounts auch mal vorsichtshalber geändert, gehe aber nicht davon aus, dass der auch gehackt wurde, da außer von Twitter nix verdächtiges kam. Twitter-Acc hab ich natürlich mittlerweile zurück.

top 14 comments
sorted by: hot top controversial new old
[–] [email protected] 24 points 1 year ago (2 children)

Hättest du SMS als 2FA? Das wurde zu einem Premium Feature für Twitter Blue.

[–] [email protected] 31 points 1 year ago (1 children)

Sicherheit als Premiumfeature.

KAPITALISMUS YAY!

[–] [email protected] -2 points 1 year ago (1 children)

SMS versenden kostet tatsächlich Geld. Zudem gibt es ja noch andere (zT kostenlose) Möglichkeiten, die zudem auch noch sicherer sind. Von daher empfinde ich es als eher weniger problematisch.

[–] [email protected] 19 points 1 year ago

problematisch wäre halt wenn ein User das aktiv hatte und man es ohne Zustimmung abschaltet

[–] [email protected] 4 points 1 year ago (3 children)

Session Hijack möglich?

[–] [email protected] 5 points 1 year ago (1 children)

Weiß jetzt nicht im Detail wie das funktioniert, aber eingeloggt war ich da seit nem Monat nicht mehr und Cookies, Cache und aktive Logins werden bei mir mit beenden von Firefox gelöscht.

[–] [email protected] 2 points 1 year ago

Evtl. noch irgendwelche Apps die Zugriff auf den Account hatten?

[–] [email protected] 3 points 1 year ago

Aber er sagte inaktiv, wie soll da noch eine session laufen?

[–] [email protected] 2 points 1 year ago

Dann sollte eigentlich kein Anmeldeversuch stattfinden. Außerdem sollte für eine Passwortänderung das alte nötig sein. Aber wer weiß schon auf welchen Servern Elon seine Unwesen getrieben hat.

[–] [email protected] 3 points 1 year ago* (last edited 1 year ago)

Ich weiß nicht wie Twitter es nach Musk handhabt, aber bei nicht wenigen Diensten, die eine Telefonnummer als Bestätigung fordern, repräsentiert letztere die Identität des Nutzers. Wer also die Nummer besitzt, dem wird auch die Kontrolle über den Account oder die Registrierung gegeben. Das heißt, du kannst entweder den Account oder den Login einschließlich des App 2FA zurücksetzen. Bei Whatsapp oder Telegram ist das z.B. so.

edit: ps: sms 2fa ist unsicherer und dient vor allem dazu nummern zu sammeln, verbreitet also keinen Unsinn.