Durch die in der letzten Woche eingeführte Zwei-Faktor-Authentifizierung wollte Twitter dem Vorbild Microsofts folgen und sein Anmeldesystem sicherer gestalten. Jedoch knackte ein Sicherheitsexperte der Firma F-Secure die Sicherheitsmaßnahmen.

Wer die Zwei-Faktor-Authentifizierung nutzen möchte, muss bei Twitter seine Mobilfunknummer angeben. Nun wird bei jedem Login ein Code per SMS an den Nutzer geschickt, der diesen dann bei Twitter eingeben muss.

Jedoch bietet Twitter auch eine Funktion an, dieses Verhalten zeitweise abzustellen wenn man zum Beispiel im Ausland unterwegs ist und hohe Roaming-Kosten vermeiden möchte. Dies erfordert lediglich eine SMS an Twitter.

Wenn jetzt also ein Angreifer die Handynummer kennt, kann dieser einfach mit der vorgetäuschten Nummer eine SMS an Twitter senden und die Zwei-Faktor-Authentifizierung abschalten.