Account von Schauspieler Ashton Kutcher offenbar übernommen - Unverschlüsselte Verbindung lässt sich abgreifen
Zumindest auf Twitter gehört Schauspieler Ashton Kutcher zu den unumstrittenen Größen seiner Branche: Mit mehr als 6 Millionen Followers liegt er auf Platz 6 aller Accounts bei dem Microblogging-Service. Vielen ist wohl auch noch sein Wettstreit mit CNN um die Frage, welcher Account als erstes die 1-Million-Followers-Grenze durchbricht, in Erinnerung - den Kutcher letztendlich für sich entschied. Doch all die Popularität schützt offenbar auch den Schauspieler nicht vor Angriffen - ganz im Gegenteil, wie nun ein aktueller Vorfall zeigt.
Einbruch
Wie in der Timeline des Schauspielers nachgelesen werden kann, wurde der Account offenbar - zumindest kurzfristig - von Dritten übernommen. "Ashton, you've been Punk'd. This account is not secure. Dude, where's my SSL?" heißt es hier etwa in Anspielung auf eine ehemalige TV-Serie von Kutcher. Der Tweet ist denn auch gleich ein Hinweis darauf, wie die Attacke durchgeführt wurde - und eine eindringliche Warnung vor einem grundlegenden Problem bei Twitter.
Vorgehensweise
So scheint Kutcher die Verbindung zum Microblogging-Service in einem offenen WLAN unverschlüsselt aufgenommen zu haben, was es für Dritte leicht macht die Session-Cookies abzugreifen, und so als der Schauspieler zu posten oder auch dessen private Nachrichten durchzusehen. Der Vorfall dürfte sich im Rahmen der TED-Konferenz ereignet haben, die derzeit in Kalifornien stattfindet.
Grundlegendes Problem
Die Verantwortung für den Vorfall trägt allerdings weniger Kutcher sondern Twitter selbst, sind solche Attacken doch spätestens seit der Verfügbarkeit des darauf spezialisierten Tools "Firesheep" äußerst einfach durchzuführen. So bemüht man sich denn bei Twitter auch in einer raschen aber indirekten Reaktion zu betonen, dass die Nutzung von SSL über die URL https://twitter.com schon jetzt optional möglich ist, und dass man in Zukunft eine Einstellung anbieten wolle, um für den eigenen Account unverschlüsselte Verbindungen gar nicht mehr zuzulassen.
Mixed Content
Ganz so einfach ist es damit allerdings nicht getan, in der Vergangenheit hatten SicherheitsexpertInnen bereits betont, dass sich Twitter-Sessions auch auf anderem Weg abgreifen lassen, etwa über in andere Seiten integrierte Twitter-Widgets, die ebenfalls bei jedem Ansurfen das Cookie abfragen - und das meist unverschlüsselt. Insofern bleibt abzuwarten, ob der Microblogging-Service auch dafür eine Lösung findet. Schon vor einiger Zeit hat Google bei Gmail ausschließlich auf verschlüsselte Verbindungen umgestellt, in den letzten Monaten sind dann immer mehr Services - wie etwa Facebook - nachgezogen. Viele Service-Anbieter hatten sich lange gegen solch einen Wechsel gesperrt, da durchgehende Verschlüsselung auch die Last am Server erhöht. (red, derStandard.at, 03.03.11)
