Kritische Lücken: Twitter-Alternative Hive Social stellt Server ab

2. Dezember 2022, 12:12
image
Foto: Sergio Rota / Unsplah

Security-Forschende konnten auf alle Nutzerdaten der Social-Media-App zugreifen. Das Unternehmen bestätigt die Schwachstelle und reagiert verspätet, aber rigoros.

Im Zuge des Twitter-Chaos und Diskussionen um mögliche Alternativen wird auch immer wieder Hive Social genannt. Im November hat die Userzahl der App erstmals die Millionenzahl überschritten, laut eigenen Angaben sind es aktuell 1,5 Millionen Nutzerinnen und Nutzer weltweit. Hive wurde 2019 von der damals 22-jährigen Kassandra Pop in Brasilien gegründet und richtet sich als eine Mischung aus Twitter, Instagram und Tumblr vor allem an jüngere User der Generation Z.
Wie IT-Sicherheitsforscher des deutschen Kollektivs Zerforschung berichten, haben sie sich jetzt "die App mal genauer angesehen und geschaut, wie es dabei um die IT-Sicherheit steht". Man sei dabei auf eine Vielzahl von schwerwiegenden Sicherheitslücken gestossen.

Alle privaten Daten abgreifbar

"Die Sicherheitslücken, die wir gemeldet haben, erlauben Angreifenden, auf alle Daten aller Benutzerinnen und Benutzer zuzugreifen. Dies betrifft private Posts, private Direktnachrichten, geteilte Bilder und Videos und sogar bereits 'gelöschte' Direktnachrichten und Posts. Zudem ist auch der Zugriff auf E-Mail-Adressen, Telefonnummern und Geburtsdaten, die bei der Registrierung angegeben worden sind, möglich", schreibt das Kollektiv auf seiner Website. Weiter sei das Ändern von Posts möglich.
Die Lücken seien vor einer Woche an Hive gemeldet worden. Da das Unternehmen aber zunächst auch auf mehrere Hinweise nicht reagiert habe, sei entschieden worden, vor der üblichen Frist mit der Warnung an die Öffentlichkeit zu gehen. Technische Details zu den Schwachstellen würden aber zum jetzigen Zeitpunkt bewusst nicht öffentlich gemacht, so Zerforschung.

Hive reagierte zuerst nicht auf Warnungen

Nach Veröffentlichung der Warnung hat Hive inzwischen die Lücken sowohl gegenüber dem Kollektiv als auch gegenüber dem 'Spiegel' bestätigt. Das Unternehmen reagierte dann rigoros: Man habe entschieden, die eigenen Server "zeitweise für einige Tage abzuschalten". Die App werde erst wieder online gehen, wenn die Probleme behoben seien.
"Wir haben mit dem Hive-Entwickler telefoniert", schreibt Zerforschung ergänzend zur ersten Meldung. "Er arbeitet am Schliessen der Lücken. Wir veröffentlichen das versprochene Update mit mehr Details zu einem späteren Zeitpunkt."

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

AMD schlägt sich durch, Intel-CEO muss einbüssen

Trotz der schwierigen Wirtschaftslage kann sich AMD gut behaupten. Beim Konkurrenten sieht es anders aus: Intel spart bei den Löhnen – auch CEO Pat Gelsinger muss einstecken.

publiziert am 1.2.2023