HWSW

Titkosítatlanul tárolta a felhasználók jelszavait a Twitter

Egy bug okozta a hibát, az adatok a cég szerint nem kerültek illetéktelen kezekbe, és a javítás is folyamatban van.

Aggasztó üzenettel találkozhatott tegnap a Twitter felhasználók egy része, a vállalat arról értesítette őket, hogy jelszavaikat a cég tudtán kívül egy belső naplófájlban, titkosítás nélkül tárolta. Noha a közösségi oldal szerint az egyszerű szövegként rögzített bejelentkezési adatokhoz nem fértek hozzá illetéktelen behatolók, elővigyázatosságból minden felhasználót arra buzdít, változtassa meg jelszavát.

Az esetről a Twitter műszaki igazgatója Parag Agrawal blogposztban is beszámolt, [1]eszerint egy nemrég felfedezett bug miatt kerültek a jelszavak nem titkosított naplófájlba. A cég a jelszavak hasheléséhez a széles körben használt, számításigényes bcrypt hash-függvényt használja, amelynek hála a bejelentkezési adatokat anélkül tudja hitelesíteni, hogy közben hozzáférne a tényleges jelszóhoz. A szóban forgó bug miatt ugyanakkor a a vállalat rendszere a hashelési folyamat lezárulta előtt egy belső, titkosítatlan logban tárolta el az adatokat. A hibára a cég szerencsére még házon belül rájött és törölte a listát, továbbá megkezdte a munkát a probléma orvoslásán.

twill

xAgrawal szerint jelenleg semmi nem utal arra, hogy az érzékeny információk elhagyták volna a cég rendszereit, ezzel együtt azonban továbbra is azt javasolja a felhasználóknak, hogy tegyék meg az ilyenkor szokásos elővigyázatossági lépéseket. Ebbe beletartozik a jelszó megváltoztatása nem csak a Twitteren, de minden olyan szolgáltatásban ahol a felhasználó ugyanazt a bejelentkezési adatot használta - ettől a gyakorlattól egyébként a cég, illetve szokás szerint mi is óva intünk mindenkit. Az elfelejtett jelszavak problémája ahogy arra a vállalat is kitér, jelszókezelő szolgáltatások használatával, mint az ismert LastPass megoldható, ezek ráadásul egyben azt is garantálják, hogy valóban biztonságos lesz az új jelszó - igaz maguknál a jelszókezelőknél sem példátlanok a biztonsági problémák [2]. A Twitter, bár hangsúlyozta hogy nem érte valós kár a felhasználókat, elnézést kért a történtekért.

Ahogy az Ars Technica is rámutat [3]épp néhány nappal ezelőtt bukkant fel egy nagyon hasonló fiaskó a GitHub háza táján is. Az oldal ugyancsak a bcrypt függvényt használja, és akárcsak a Twitter, egy egyszerű szövegként tárolt naplófájlba futott bele, ahová rendszere a felhasználók jelszavait mentette, mikor azok új jelszót akartak beállítani maguknak. A GitHub is igyekezett gyorsan tisztázni, hogy külső felek nem fértek hozzá az adatokhoz, ahogy saját legénységének "többsége" sem. A cég ugyanakkor nem csak javasolta a felhasználóknak a jelszóújítást, azt a közlemény [4]kiadása után rögtön kötelezővé is tette a belépéshez.

A cikkben hivatkozott linkek:
[1] https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html
[2] https://www.hwsw.hu/hirek/57305/logmein-lastpabb-biztonsag-sebezhetoseg-google-project-zero.html
[3] https://arstechnica.com/information-technology/2018/05/twitter-advises-users-to-reset-passwords-after-bug-posts-passwords-to-internal-log/?amp=1
[4] https://twitter.com/SwitHak/status/991416974252167169/photo/1
A cikk adatai:
//www.hwsw.hu/hirek/58766/twitter-jelszo-biztonsag-bug-bcrypt.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2018. május 04. 15:05
Rovat: vállalati it