Wie der Kurznachrichtendienst Twitter nun einräumte, wurden Telefonnummern und E-Mail-Adressen, welche Nutzer angegebenen haben, um über die Zwei-Faktor-Authentifizierung (2FA) ihr Nutzerkonto abzusichern, missbräuchlich dazu verwendet, Werbung zu personalisieren.

Vor gut einem Monat forderte die Piratenpartei bereits, ebenfalls anlässlich eines Datenschutzvorfalls mit 2FA-Telefonnummern bei Facebook, datensparsamere Alternativen zur anonymen Nutzung von Online-Diensten.

„Es ist nicht nur bei Twitter eine verbreitete Unsitte, dass Nutzer unentwegt aufgefordert werden, ihre Handynummer anzugeben. Das ist oft bei neuen Verträgen eine Voraussetzung dafür, diese überhaupt aktivieren zu können. Dass hier das Vertrauen der Nutzer, die sich eigentlich mehr Sicherheit für ihre Accountdaten versprachen, quasi ins Gegenteil verkehrt wurde, muss Konsequenzen haben.
Wir erwarten nun, dass Twitter die betroffenen Nutzer zeitnah über den Vorfall informiert.“

so Frank Herrmann, Themenbeauftragter Datenschutz der Piratenpartei Deutschland.

Da mittlerweile viele Nutzer überwiegend das Smartphone verwenden, um auf Social-Media-Dienste zuzugreifen, ist der Sicherheitsgewinn einer SMS-Authentifizierung, die über dasselbe Gerät empfangen wird, fragwürdig. Separate U2F-Security-Tokens, die über USB oder NFC mit dem Endgerät kommunizieren, stellen eine sicherere und datenschutzfreundlichere Lösung dar.


Wer gerne etwas bastelt, kann sich für unter 2€ aus einem St-Link-v2-Clone selbst ein U2F-Token bauen.

Eine ähnliche Problematik besteht mit der neuen EU-Zahlungsdiensterichtlinie PSD2, die Banktransaktionen besser absichern soll. Viele Banken setzen hier derzeit vor allem auf das mTAN-Verfahren, bei dem die Kunden TANs per SMS erhalten. Realitätsfern ist dabei, dass Online-Banking und der Empfang SMS-TAN auf dem gleichen Gerät aus Sicherheitsgründen nicht gestattet sind, der Hinweis dazu aber meist tief in den Allgmeinen Geschäftsbedingungen versteckt ist. So verstoßen Smartphone-Nutzer, die nur ein einzelnes Gerät für das Online-Banking benutzen, regelmäßig gegen die Bedingungen der Banken, und müssen im Missbrauchsfall damit rechnen, auf ihrem Schaden sitzen zu bleiben. Auch hier gibt es beispielsweise Chip-TAN Verfahren, die einerseits sicherer sind, andererseits aber auch die Weitergabe der Handynummer an die Bank überflüssig machen.