Kürzlich habe die Piratenpartei bereits, ebenfalls anlässlich eines Datenschutzvorfalls mit 2FA-Telefonnummern bei Facebook, datensparsamere Alternativen zur anonymen Nutzung von Online-Diensten gefordert.
"Es ist nicht nur bei Twitter eine verbreitete Unsitte, dass Nutzer unentwegt aufgefordert werden, ihre Handynummer anzugeben. Das ist oft bei neuen Verträgen eine Voraussetzung dafür, diese überhaupt aktivieren zu können. Dass hier das Vertrauen der Nutzer, die sich eigentlich mehr Sicherheit für ihre Accountdaten versprachen, quasi ins Gegenteil verkehrt wurde, muss Konsequenzen haben.
Wir erwarten nun, dass Twitter die betroffenen Nutzer zeitnah über den Vorfall informiert", sagt Frank Herrmann, Themenbeauftragter Datenschutz der Piratenpartei Deutschland.
Der Sicherheitsgewinn ist fragwürdig
Da mittlerweile viele Nutzer überwiegend das Smartphone verwendeten, um auf Social-Media-Dienste zuzugreifen, sei der Sicherheitsgewinn einer SMS-Authentifizierung, die über dasselbe Gerät empfangen werde, fragwürdig. Separate U2F-Security-Tokens, die über USB oder NFC mit dem Endgerät kommunizierten, stellten eine sicherere und datenschutzfreundlichere Lösung dar.
Smartphone-Nutzer verstoßen gegen Bedingungen der Banken
Eine ähnliche Problematik bestehe mit der neuen EU-Zahlungsdiensterichtlinie PSD2, die Banktransaktionen besser absichern solle. Viele Banken setzten hier derzeit vor allem auf das mTAN-Verfahren, bei dem die Kunden TANs per SMS erhalten. Realitätsfern sei dabei, dass Online-Banking und der Empfang SMS-TAN auf dem gleichen Gerät aus Sicherheitsgründen nicht gestattet seien, der Hinweis dazu aber meist tief in den Allgemeinen Geschäftsbedingungen versteckt sei. So verstießen Smartphone-Nutzer, die nur ein einzelnes Gerät für das Online-Banking benutzten, regelmäßig gegen die Bedingungen der Banken, und müssten im Missbrauchsfall damit rechnen, auf ihrem Schaden sitzen zu bleiben. Auch hier gebe es beispielsweise Chip-TAN Verfahren, die einerseits sicherer seien , andererseits aber auch die Weitergabe der Handynummer an die Bank überflüssig machten. pm, ots, mei
English version
As the short news service Twitter has now admitted, telephone numbers and e-mail addresses given by users in order to secure their user account via two-factor authentication (2FA) have been misused to personalise advertising. Recently, the Pirate Party had called for more data-efficient alternatives to the anonymous use of online services, also on the occasion of a data protection incident with 2FA telephone numbers on Facebook.
"It is not only a widespread bad habit on Twitter that users are constantly asked to give their mobile phone number. This is often a prerequisite for being able to activate new contracts at all. The fact that the trust of users, who actually expected more security for their account data, was turned upside down must have consequences.
We now expect Twitter to promptly inform the affected users of the incident," says Frank Herrmann, Data Protection Officer of the Pirate Party of Germany.
The security gain is questionable
Since many users are now predominantly using smartphones to access social media services, the security gain of SMS authentication received via the same device is questionable. Separate U2F security tokens, which communicate with the end device via USB or NFC, provide a more secure and privacy-friendly solution.
Smartphone users violate bank conditions
A similar problem exists with the new EU Payment Services Directive PSD2, which is intended to improve the security of bank transactions. Many banks are currently relying primarily on the mTAN procedure, in which customers receive TANs by SMS. It is unrealistic that online banking and receiving SMS-TANs on the same device are not permitted for security reasons, but the reference to this is usually hidden deep in the General Terms and Conditions. Smartphone users who only use a single device for online banking regularly violate the terms and conditions of the banks and would have to reckon with being stuck on their losses in the event of misuse. Here, too, for example, there are Chip-TAN procedures which are more secure on the one hand, but on the other hand also make the transfer of the mobile phone number to the bank superfluous. pm, ots, mei