Twitter сегодня подробно рассказал о внутренней ошибке, которая привела к хранению паролей во внутреннем незашифрованном журнале. Хотя Twitter утверждает, что не видит признаков взлома или злоупотребления, он рекомендует пользователям «рассмотреть возможность смены» своих паролей…
Twitter объясняет, что, хотя обычно он использует хэширование для защиты паролей пользователей, ошибка привела к записи паролей во внутренний журнал до завершения процесса хэширования. Важно отметить, что доступ к этому незашифрованному журналу имели сотрудники Twitter, и компания не видит никаких признаков неправомерных действий или взлома:
Мы маскируем пароли посредством процесса, называемого хэшированием, используя функцию, известную как bcrypt, которая заменяет фактический пароль случайным набором чисел и букв, хранящихся в системе Twitter.
Из-за ошибки пароли были записаны во внутренний журнал до завершения процесса хэширования. Мы обнаружили эту ошибку самостоятельно, удалили пароли и внедряем планы по предотвращению повторения этой ошибки.
Twitter не уточняет, затронула ли ошибка пароли всех пользователей, но рекомендует всем пользователям сменить пароль из «меры предосторожности». В конечном итоге компания приносит извинения и подтверждает, что стремится заслужить доверие пользователей:
Нам очень жаль, что это произошло. Мы признаем и ценим доверие, которое вы нам оказываете, и стремимся ежедневно оправдывать это доверие.
Объявление Twitter выходит всего через несколько дней после того, как GitHub раскрыл аналогичную ошибку, которая привела к утечке некоторых паролей в открытом виде.
Посетите блог Twitter, чтобы ознакомиться с полным списком советов компании по безопасности учетных записей, включая верификацию входа, использование менеджера паролей и многое другое. Обязательно ознакомьтесь с нашим полным руководством по смене пароля Twitter непосредственно из приложения Android.