Twitter 发现系统漏洞,建议用户更改密码

下一篇文章

Telegram 的破纪录 ICO 乱成一锅粥

现在又到了更改密码的时间了:Twitter 在周四透露,一个 bug 导致网站未做任何处理就明文存储了用户密码。通常情况下,像密码这样的敏感个人数据会以复杂的加密算法来进行二次保护。现在看来,Twitter 好像是没有加密日志,直接保存了未加密的密码。

Twitter 指出,目前“没有理由认为有任何密码信息从 Twitter 系统中泄露出去”,否认这些未受保护的密码被黑客获取过,但未知的风险依然存在。作为一项预防措施,该公司已经建议用户更改密码。

Twitter 是这样描述事件发生过程的:

我们通过所谓的哈希转换流程,使用一个名为 bcrypt 的函数对密码进行掩码处理,即用随机的一系列数字和字母替代实际密码,存储在 Twitter 系统内。 这让我们的系统可以在不显示你的密码的前提下核实帐号身份。 这是行业标准做法。

有一个问题导致密码在完成哈希转换前被写入一个内部日志。 我们自己发现了这个错误,移除了密码信息,并且正在部署计划以防这个问题再度发生。

Twitter 拒绝提供有关此事的其他技术细节,但强调说该公司认为密码被发现的可能性“非常低”,而内部调查显示没有任何系统遭攻击或其他滥用的事情发生。

对于一家如此规模的公司来说,犯这样一个低级的安全错误是极不寻常的事情,但这也恰恰是用户自己应该掌控密码保护流程的另一个原因。现在是开始使用 双重验证手段 以及 LastPass 或 1Password 这样的密码管理器来保证账户凭证安全的最佳时机——如果你使用的平台没有采取这样的安全举措,那么更应该迅速行动起来。

翻译:皓岳

You should change your Twitter password right now