Titkosítatlanul tárolta a felhasználók jelszavait a Twitter
Egy bug okozta a hibát, az adatok a cég szerint nem kerültek illetéktelen kezekbe, és a javítás is folyamatban van.
Aggasztó üzenettel találkozhatott tegnap a Twitter felhasználók egy része, a vállalat arról értesítette őket, hogy jelszavaikat a cég tudtán kívül egy belső naplófájlban, titkosítás nélkül tárolta. Noha a közösségi oldal szerint az egyszerű szövegként rögzített bejelentkezési adatokhoz nem fértek hozzá illetéktelen behatolók, elővigyázatosságból minden felhasználót arra buzdít, változtassa meg jelszavát.
Az esetről a Twitter műszaki igazgatója Parag Agrawal blogposztban is beszámolt, eszerint egy nemrég felfedezett bug miatt kerültek a jelszavak nem titkosított naplófájlba. A cég a jelszavak hasheléséhez a széles körben használt, számításigényes bcrypt hash-függvényt használja, amelynek hála a bejelentkezési adatokat anélkül tudja hitelesíteni, hogy közben hozzáférne a tényleges jelszóhoz. A szóban forgó bug miatt ugyanakkor a a vállalat rendszere a hashelési folyamat lezárulta előtt egy belső, titkosítatlan logban tárolta el az adatokat. A hibára a cég szerencsére még házon belül rájött és törölte a listát, továbbá megkezdte a munkát a probléma orvoslásán.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
Agrawal szerint jelenleg semmi nem utal arra, hogy az érzékeny információk elhagyták volna a cég rendszereit, ezzel együtt azonban továbbra is azt javasolja a felhasználóknak, hogy tegyék meg az ilyenkor szokásos elővigyázatossági lépéseket. Ebbe beletartozik a jelszó megváltoztatása nem csak a Twitteren, de minden olyan szolgáltatásban ahol a felhasználó ugyanazt a bejelentkezési adatot használta - ettől a gyakorlattól egyébként a cég, illetve szokás szerint mi is óva intünk mindenkit. Az elfelejtett jelszavak problémája ahogy arra a vállalat is kitér, jelszókezelő szolgáltatások használatával, mint az ismert LastPass megoldható, ezek ráadásul egyben azt is garantálják, hogy valóban biztonságos lesz az új jelszó - igaz maguknál a jelszókezelőknél sem példátlanok a biztonsági problémák. A Twitter, bár hangsúlyozta hogy nem érte valós kár a felhasználókat, elnézést kért a történtekért.
Ahogy az Ars Technica is rámutat épp néhány nappal ezelőtt bukkant fel egy nagyon hasonló fiaskó a GitHub háza táján is. Az oldal ugyancsak a bcrypt függvényt használja, és akárcsak a Twitter, egy egyszerű szövegként tárolt naplófájlba futott bele, ahová rendszere a felhasználók jelszavait mentette, mikor azok új jelszót akartak beállítani maguknak. A GitHub is igyekezett gyorsan tisztázni, hogy külső felek nem fértek hozzá az adatokhoz, ahogy saját legénységének "többsége" sem. A cég ugyanakkor nem csak javasolta a felhasználóknak a jelszóújítást, azt a közlemény kiadása után rögtön kötelezővé is tette a belépéshez.