Twitter不慎以純文本形式泄漏用戶密碼

經過內部審計之後，Twitter近日承認，他們的密碼存儲機制存在錯誤，導致內部日誌中記錄了一些用戶的密碼。

在Twitter之前，GitHub本周早些時候也發布了類似的聲明。

就像在GitHub事件中一樣，密碼以明文格式記錄在Twitter的內部伺服器日誌中。

明文密碼是飽受詬病的安全措施，如今的網站往往會使用哈希加鹽等方式存儲用戶的密碼，避免密碼泄露後被黑客知曉用戶真正的密碼。

Twitter表示，它通常通過將密碼傳遞給bcrypt散列函數來加密密碼，這也是頂尖的行業標準。

「但是在實際情況中由於存在bug，在完成哈希處理之前密碼就被寫入內部日誌，」Twitter發言人稱。 「我們自己發現了這個漏洞，刪除了密碼，並且正在修復，以防問題再次發生。」

讓用戶決定是否更改密碼

GitHub查出明文密碼時，給所有受影響的用戶發送了電子郵件並且強制讓他們重置密碼。

但是Twitter沒有發送郵件提醒，有些用戶被強制修改密碼，小編登陸Twitter發現，的確出現了一個警告窗口。

Twitter並不認為這是非常重大的安全問題，Twitter認為它的系統從未被破壞過，只有少數員工可能看到過泄露的密碼。

「我們的調查顯示沒有任何人濫用了密碼，」Twitter說。

* 參考來源：BleepingComputer，本文作者Sphinx，轉載註明來自FreeBuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！