Ein Benutzer der Twitter/X-Alternative Ausgießbar behauptet, das Unternehmen habe seine Beiträge gelöscht, nachdem es den CEO von Spoutible, Christopher Bouzy, dazu gedrängt hatte, ehrlicher über die Art des jüngsten Sicherheitsproblems zu sein. Die Behauptungen, die das Unternehmen bestreitet, sind die neueste bizarre Wendung in der Saga von Sicherheitsvorfällen, die sich in der vergangenen Woche bei dem Startup ereignet hat.
Letzte Woche bestätigte Bouzy a Sicherheitslücke dass er sagte, er habe die E-Mails und Telefonnummern der Benutzer bei seinem Startup offengelegt, positioniert als inklusiveres, freundlicheres Twitter. Der Sicherheitsforscher Troy Hunt, Erfinder des Wurde ich pwned? Die Website, auf der Benutzer überprüfen können, ob ihre Daten bei einem Datenverstoß kompromittiert wurden, stellte fest, dass die Entwickler-API von Spoutible auch Informationen offenlegte, die Kriminelle hätten nutzen können, um Benutzerkonten zu übernehmen, ohne dass sie davon wussten.
Jagd detailliert seine Erkenntnisse zu diesem weitaus schwerwiegenderen Vorwurf auf seiner WebsiteDabei wurde darauf hingewiesen, dass die Spoutible-API Daten zurückgegeben hat, darunter den Bcrypt-Hash des Passworts eines anderen Benutzers sowie 2FA-Geheimnisse (Zwei-Faktor-Geheimnisse) und den Token, der zum Zurücksetzen des Passworts eines Benutzers wiederverwendet werden konnte.
Kurz gesagt, diese Sicherheitslücke war hochgradig ausnutzbar und hätte es einem Angreifer ermöglichen können, das Konto eines Benutzers zu übernehmen, ohne dass dieser davon wusste, wie z The Verge berichtete damals. Hunt war von einem Dritten auf dieses Problem aufmerksam gemacht worden, der behauptete, er habe Daten aus dem Spoutible-Dienst gestohlen. Wie auch das Konto von Have I Been Pwned bestätigt am XSpoutible hatte 207.000 Benutzerdatensätze aus seiner falsch konfigurierten API gelöscht, darunter „Name, E-Mail, Benutzername, Telefon, Geschlecht, Bcrypt-Passwort-Hash, 2FA-Geheimnis und Passwort-Reset-Token“.
Seit Juni letzten Jahres Spoutible hatte 240.000 registrierte BenutzerDaher betraf der Verstoß einen großen Teil der Nutzerbasis des kleineren sozialen Netzwerks.
Der Sicherheitsforscher erklärte, dass die Schwachstelle von Kriminellen ausgenutzt worden sein könnte, die in der Lage gewesen wären, eine gehashte Version der Passwörter der Benutzer zu erhalten. Obwohl die Passwörter über bcrypt geschützt waren, hätten kürzere Passwörter leichter zu erraten und zu knacken sein. Außerdem würde dem Kontoinhaber keine E-Mail-Benachrichtigung über die Passwortänderung gesendet, so dass er nie gewusst hätte, ob sein Konto nicht mehr unter seiner Kontrolle stünde, bemerkte Hunt.
So etwas wäre für jedes Startup ein Problem gewesen, vor allem aber für ein Startup, bei dem die Nutzerbasis voll von Early Adopters ist, die Spoutible vielleicht einfach eine Zeit lang ausprobiert haben, bevor sie zu einer anderen Twitter-Alternative übergegangen sind und halb aufgegebene Konten reif für die Nutzung gemacht haben das Nehmen.
Christopher Bouzy, CEO von Spoutible, bestätigte den Datenschutzverstoß und die Sicherheitslücke und das Unternehmen verlangte von den Benutzern, sie zu erstellen neue, stärkere Passwörter, nach sich mit dem Problem befassen. Allerdings bezeichnete er die Entdeckung der Sicherheitslücke auch als „Angriff“ auf sein Netzwerk und behauptete, dass die Person, die die Daten gecrackt hatte, jemand war, der den Ruf von Spoutible schädigen wollte.
„Wir sind … zuversichtlich, dass es sich bei der beteiligten Person um den Rädelsführer handelt, der Spoutible seit einem Jahr angreift.“ Sagte Bouzy in einem Beitragund bezieht sich dabei auf den Melder, der Hunt die gelöschten Aufzeichnungen geschickt hat.
In einer E-Mail an Tech erläuterte Bouzy seine Ideen weiter und behauptete, dass die Online-Gruppe „Zweifelhaft„, der Anfang letzten Jahres aufgetaucht war, steckte hinter dem Angriff. Doubtible betreibt einen Twitter/X-Account, auf dem sie „täglich Unwahrheiten über Spoutible, mich und prominente Mitglieder unserer Community getwittert haben“, sagte Bouzy. „Wir sind fest davon überzeugt, dass diese Gruppe hinter der unbefugten Datenentnahme unserer Daten steckt“ – eine Anschuldigung wiederholte Bouzy in einer Antwort zu einer Rezension auf Trustpilot, wo er auch andeutete, dass er das FBI auf die Angelegenheit aufmerksam machen würde.
„Jemand muss nicht mehr als 207.000 Datensätze durchforsten, um eine Schwachstelle aufzudecken“, fuhr Bouzy fort. „Durch die Einbeziehung von Daten wird der Nachrichtenwert jedoch deutlich erhöht. Sollte es jemand zum Ziel haben, eine Schwachstelle aufzudecken, um den Ruf eines Unternehmens zu schädigen, wäre Herr Hunt in der Tat der ideale Ansprechpartner. Der Grund für ihre Wahl ist klar: Die Tweets, der Blogbeitrag und das Folgevideo von Herrn Hunt stimmen perfekt mit ihren Absichten überein. „Die Art und Weise, wie Herr Hunt den Vorfall reißerisch machte und darstellte, ist genau das, was sie sich erhofft hatten“, fügte er verschwörerisch hinzu.
Bouzy behauptet, dass die Sicherheitslücke dadurch entstanden sei, dass jemand in seinem Team eine für die Benutzereinstellungs-API vorgesehene Funktion mit einer für die öffentliche API entwickelten Funktion kombiniert habe, weshalb verschlüsselte E-Mails und Telefonnummern im Klartext offengelegt wurden. Er sagte, dass Spoutible nun mit einem Sicherheitsunternehmen zusammengearbeitet habe, um seine Systeme angesichts dieses Vorfalls weiter zu überprüfen.
Dennoch haben mehrere Personen Bouzy seitdem vorgeworfen, versucht zu haben, die Schwere der Sicherheitslücke herunterzuspielen, darunter: Datenjournalist Dan Nguyender kürzlich den Tech-Unternehmer erneut geteilt hat Anil Dashs Beitrag auf Bluesky Warnung der Benutzer, „aus dem Mund zu gehen“. Ein anderer Bluesky-Benutzer verwies farbenfroh darauf zu Spoutibles Dumping von Benutzerdaten, ähnlich wie bei „Montezumas Rache“.
Obwohl ein Datenverstoß für ein Startup bereits eine schlechte PR ist, stellt sich nun die Frage, ob das Unternehmen seine Kritiker zum Schweigen bringt oder nicht.
Ein Spoutible-Benutzer, Mike Natale, hat dies öffentlich gemacht beschuldigte den CEO, seine Beiträge gelöscht zu haben auf der Social-Networking-Site, wo er Bouzy zu mehr Transparenz gedrängt hatte.
„Bouzy … hat alle meine Beiträge gelöscht und meine Pinnwand gelöscht“, schrieb Natale als Antwort an einen anderen Bluesky-Benutzer.
In einer anderen Antwort: Natale erklärte dass Bouzy seine Beiträge zunächst auf Spoutible erneut gepostet hatte, um sich zu der Angelegenheit zu äußern, dann aber alle Beiträge von Natale gelöscht hatte, als er sich gegen „das Narrativ, dass dies ein Angriff war“ und „dass andere Unternehmen die gleichen Mängel hatten“ wehrte.
Die fehlenden Beiträge enthalten nicht den üblichen Tag, der auf ihre Löschung hinweist. Auf Spoutible ist an entfernte Beiträge eine Systemnotiz mit der Aufschrift „@user hat diese Antwort gelöscht“ angehängt. Wenn Bouzy beispielsweise die Antwort gelöscht hätte, hätte sie lauten müssen: „@bouzy hat diese Antwort gelöscht.“
Aber in diesem Fall sagte Natale in Kommentaren auf Bluesky, dass die Beiträge einfach weg seien und sein Spoutible-Hauptfeed nicht einmal geladen werde.
Der Twitter/X-Account Doubtible hat auch über Natales Behauptungen gepostet. Natale hat Anfragen nach Kommentaren nicht beantwortet.
Unterdessen bestreitet Spoutible-CEO Christopher Bouzy die Löschung von Natales Beiträgen.
„Was das Problem mit der Benutzerin Natale betrifft, haben wir ihre Beiträge oder ihr Konto nicht gelöscht. Es ist möglich, dass Benutzer ihre eigenen Inhalte entfernen und uns dann fälschlicherweise beschuldigen“, sagte er und deutete damit erneut eine Verschwörung an. „Die Behauptung ist unbegründet und verdient keine weitere Diskussion“, schloss er.
Der Vorfall bei Spoutible erinnert an ein anderes kleineres Unternehmen, Hive, das ebenfalls ein großes Sicherheitsproblem hatte, nachdem es kurz nach der Übernahme von Elon Musk mit Twitter-Nutzern überschwemmt wurde. In diesem Fall hat das Startup seine App vollständig heruntergefahren, um die kritischen Fehler zu beheben, bevor es zum App Store zurückkehrte. Hive hat es geschafft, den Sturm zu überstehen und schließlich zurückzukehren, wird aber nach der verpassten Chance nicht mehr als Bedrohung für Twitter angesehen.
Ob sich der Ruf von Spoutible von diesem Makel erholen wird, bleibt ebenfalls abzuwarten.