Twitter不慎以純文本形式泄漏用戶密碼
最新
05-06
經過內部審計之後,Twitter近日承認,他們的密碼存儲機制存在錯誤,導致內部日誌中記錄了一些用戶的密碼。
在Twitter之前,GitHub本周早些時候也發布了類似的聲明。
就像在GitHub事件中一樣,密碼以明文格式記錄在Twitter的內部伺服器日誌中。
明文密碼是飽受詬病的安全措施,如今的網站往往會使用哈希加鹽等方式存儲用戶的密碼,避免密碼泄露後被黑客知曉用戶真正的密碼。
Twitter表示,它通常通過將密碼傳遞給bcrypt散列函數來加密密碼,這也是頂尖的行業標準。
「但是在實際情況中由於存在bug,在完成哈希處理之前密碼就被寫入內部日誌,」Twitter發言人稱。 「我們自己發現了這個漏洞,刪除了密碼,並且正在修復,以防問題再次發生。」
讓用戶決定是否更改密碼
GitHub查出明文密碼時,給所有受影響的用戶發送了電子郵件並且強制讓他們重置密碼。
但是Twitter沒有發送郵件提醒,有些用戶被強制修改密碼,小編登陸Twitter發現,的確出現了一個警告窗口。
Twitter並不認為這是非常重大的安全問題,Twitter認為它的系統從未被破壞過,只有少數員工可能看到過泄露的密碼。
「我們的調查顯示沒有任何人濫用了密碼,」Twitter說。
* 參考來源:BleepingComputer,本文作者Sphinx,轉載註明來自FreeBuf
※【FB TV】一周「BUF大事件」:Facebook被爆5000萬用戶數據泄漏;500萬台國產安卓手機被預裝惡意軟體變殭屍
※ezXSS:一款功能強大的XSS盲測工具
TAG:FreeBuf |