Mein (inaktiver) Twitter-Account wurde gestern gehackt und das Passwort wurde vom Angreifer (IP aus den USA) geändert. Wie konnte das passieren nachdem Twitter erst einen Code zum login verlangt hat und dann ja auch offensichtlich erkannt hat, dass es sich um einen unüblichen Anmeldeversuch handelt? Jemand ne Erklärung?
Ich hab das Passwort meines E-Mail Accounts auch mal vorsichtshalber geändert, gehe aber nicht davon aus, dass der auch gehackt wurde, da außer von Twitter nix verdächtiges kam. Twitter-Acc hab ich natürlich mittlerweile zurück.
Ich weiß nicht wie Twitter es nach Musk handhabt, aber bei nicht wenigen Diensten, die eine Telefonnummer als Bestätigung fordern, repräsentiert letztere die Identität des Nutzers. Wer also die Nummer besitzt, dem wird auch die Kontrolle über den Account oder die Registrierung gegeben. Das heißt, du kannst entweder den Account oder den Login einschließlich des App 2FA zurücksetzen. Bei Whatsapp oder Telegram ist das z.B. so.
edit: ps: sms 2fa ist unsicherer und dient vor allem dazu nummern zu sammeln, verbreitet also keinen Unsinn.
Session Hijack möglich?
Weiß jetzt nicht im Detail wie das funktioniert, aber eingeloggt war ich da seit nem Monat nicht mehr und Cookies, Cache und aktive Logins werden bei mir mit beenden von Firefox gelöscht.