Ich habe hier ein paar Infos gesammelt zum Exodus und dem Fall von Twitter. Es ist ja nicht auszuschließen, dass das ganz schnell geht, und niemand weiß heute, was am Montag ist.
Update: Auf Mastodon hat mir @HelmarDuerrlein geschrieben, dass 2FA auch abgeschalten wird, wenn der Account deaktiviert wird. Das habe ich getestet und den Artikel dahin angepasst.
Update: Es kursiert der Rat, eine Fake-Telefonnummer und eine Fake-E-Mailadresse einzutragen. Das halte ich nicht für sinnvoll. Beim erfolgreichen Login nach Wiederherstellung während der Grace-Period geht eine E-Mail raus an der Benutzer. Diese Warnung verliert man mit einem Fake-Eintrag.
tl;dr: Unbedingt Daten löschen, mit Datenschutzbeauftragtem reden und ein sicheres Passwort eintragen. Solange noch Daten drin stehen, nicht abmelden sondern Zweifaktorauthentifizierung aktivieren. Nach dem Abmelden ist der Account “nur” noch durch das alte Passwort geschützt
Besonders erschreckend: Den Account zu behalten ist unter Umständen sicherer als ihn derzeit zu löschen. Ein sicheres Passwort müssen alle User setzen, egal ob sie derzeit schon Zweifaktorauthentifzierung (2FA) einsetzen – die wird deaktiviert wenn man den Account löscht, aber man kann sich weiter mit Passwort anmelden.
Elon Musk: “Konkurs nächstes Jahr?”
Elon Musk selbst deutete ja schon einen Konkurs nächstes Jahr an, aber nach der FTC-Warnung und der Ankündigung, dass “zertifizierte” Mitarbeiter vor Kunden für Musk haften müssen, wird der Exodus – und evtl. auch ein interner Hack oder maliziöse Aktionen von ausscheidenden Mitarbeitern wahrscheinlicher [1] und [2]. Das kann im schlimmsten Fall sehr schnell gehen, wer sich darauf vorbereiten will, sollte den Artikel der sehr geschätzten Mela Eckenfels [3] lesen und alle privaten Konversationen löschen – sie könnten schützenswerte Daten enthalten, die Dritten nutzen [4].
Wer dabei den Datenschutz beachten muss (also wohl alle Unternehmen, denn es sind schließlich die Daten Dritter beteiligt) sollte sobald wie möglich einen Datenschutzbeauftragten und einen Twitter-API-Programmierer hinzuziehen. Der Erstere sagt dem Zweiteren, wie er beim Datenbackup filtern muss und welche Daten er sichern muss und welche er nicht sichern darf. Das Twitter-Backup selbst ist ein Komplett-Backup, ich kann nicht sagen, ob das derzeit DSGVO-konform ist. Meines (seit 2011) sind 900MB, bei einer Freundin sind es 1.5 GByte. Ob die anderen Twitter-Anwender eine Einwilligung zu einer Datenspeicherung auf meinen Systemen inkl. Weiterverarbeitung gegeben haben und ob sie dafür das Recht auf Löschen haben – kann ich ohne Anwalt nicht sagen.
Passwort ändern TROTZ 2FA!
Der Erste Schritt muss sein: Passwort ändern, auf was Langes, das nicht so leicht per brute Force gehackt werden kann und Zweifaktorauthentifizierung 2FA einrichten, wenn möglich.
Wer ein “unsicheres” Passwort eingegeben hatte, weil er sich mit 2FA sicher fühlte, wird u.U. gar nicht mitbekommen, dass sein Account wohl nach der Deaktivierung nur mit einem unsicheren Passwort geschützt ist, weil das Abmelden auch die im Account gespeicherten Settings für 2FA deaktiviert.
Umso wichtiger: Unter Linux bringt Euch beispielsweise “pwgen 20” ein 20-stelliges Zufallspasswort, aber auch Euer Passwortmanager kann das. Ich hab pwgen 30 oder sowas Ähnliches gemacht :-). Zu Passwörtern habe ich hier mal was geschrieben, da ist auch ein Entropie-Rechner gezeigt.
Ein großes Problem scheint auch zu sein, dass kein Security-Personal, keine Datenschutzexperten und Verantwortlichen, die sich kümmern mehr bei Twitter sind. Das macht das alles noch wichtiger.
Momentan sollte man wohl das Profil nicht löschen, sicher aber alle enthaltenen Daten (wenn der DSB auch dieser Meinung ist). Die behält Twitter nämlich 30 Tage (siehe Abbildung) nach Löschung, während dieser “Grace Period” kann man sie reaktivieren (ohne 2FA!). Ich habe das hier mal getestet, das letzte Bild zeigt die Warn-E-Mail.
Angeblich nutzen das Angreifer, um mit einem “verifizierten Profil” das alte von anderen Anwendern zu übernehmen und so an die ungelöschten Accountdaten zu kommen. Einen Beleg dafür habe ich allerdings noch nicht gefunden – ich betrachte das als Gerücht, PM an mich, wenn da was dran ist. (Update: Die Gefahr mit den zu einfachen Passwörtern leuchtet mir schon ein. )
So oder so: Daten DSGVO-konform sichern und löschen, Account absichern und behalten scheint sicherer. Später (falls Twitter noch steht): Account löschen. Es gibt auch hilfreiche Tools wie Birdbear, zu dem schreibt Wolfie Christl: “Tested it with a dummy Twitter account, it generates json downloads for bookmarked and ‘liked’ tweets (and a downloadable SQLite db in the browser).”
[1] Tagesspiegel zum Hintergrund: https://www.tagesspiegel.de/wirtschaft/kurz-nach-der-ubernahme-musk-musk-schliesst-twitter-pleite-nicht-aus-8862790.html
[2] Wired über die kaputten blue checks: https://www.wired.com/story/twitter-blue-check-verification-buy-scams/
[3] Mela Eckenfels gibt Tipps für Twitter-Aussteiger: https://mela.de/blog/2022/11/11/twitter-brennt-was-ihr-jetzt-tun-solltet/
[4] Direktnachrichten löschen: https://michae.lv/deleting-dms-from-twitter/