Aggasztó üzenettel találkozhatott tegnap a Twitter felhasználók egy része, a vállalat arról értesítette őket, hogy jelszavaikat a cég tudtán kívül egy belső naplófájlban, titkosítás nélkül tárolta. Noha a közösségi oldal szerint az egyszerű szövegként rögzített bejelentkezési adatokhoz nem fértek hozzá illetéktelen behatolók, elővigyázatosságból minden felhasználót arra buzdít, változtassa meg jelszavát.

Az esetről a Twitter műszaki igazgatója Parag Agrawal blogposztban is beszámolt, eszerint egy nemrég felfedezett bug miatt kerültek a jelszavak nem titkosított naplófájlba. A cég a jelszavak hasheléséhez a széles körben használt, számításigényes bcrypt hash-függvényt használja, amelynek hála a bejelentkezési adatokat anélkül tudja hitelesíteni, hogy közben hozzáférne a tényleges jelszóhoz. A szóban forgó bug miatt ugyanakkor a a vállalat rendszere a hashelési folyamat lezárulta előtt egy belső, titkosítatlan logban tárolta el az adatokat. A hibára a cég szerencsére még házon belül rájött és törölte a listát, továbbá megkezdte a munkát a probléma orvoslásán.

Agrawal szerint jelenleg semmi nem utal arra, hogy az érzékeny információk elhagyták volna a cég rendszereit, ezzel együtt azonban továbbra is azt javasolja a felhasználóknak, hogy tegyék meg az ilyenkor szokásos elővigyázatossági lépéseket. Ebbe beletartozik a jelszó megváltoztatása nem csak a Twitteren, de minden olyan szolgáltatásban ahol a felhasználó ugyanazt a bejelentkezési adatot használta - ettől a gyakorlattól egyébként a cég, illetve szokás szerint mi is óva intünk mindenkit. Az elfelejtett jelszavak problémája ahogy arra a vállalat is kitér, jelszókezelő szolgáltatások használatával, mint az ismert LastPass megoldható, ezek ráadásul egyben azt is garantálják, hogy valóban biztonságos lesz az új jelszó - igaz maguknál a jelszókezelőknél sem példátlanok a biztonsági problémák. A Twitter, bár hangsúlyozta hogy nem érte valós kár a felhasználókat, elnézést kért a történtekért.

Ahogy az Ars Technica is rámutat épp néhány nappal ezelőtt bukkant fel egy nagyon hasonló fiaskó a GitHub háza táján is. Az oldal ugyancsak a bcrypt függvényt használja, és akárcsak a Twitter, egy egyszerű szövegként tárolt naplófájlba futott bele, ahová rendszere a felhasználók jelszavait mentette, mikor azok új jelszót akartak beállítani maguknak. A GitHub is igyekezett gyorsan tisztázni, hogy külső felek nem fértek hozzá az adatokhoz, ahogy saját legénységének "többsége" sem. A cég ugyanakkor nem csak javasolta a felhasználóknak a jelszóújítást, azt a közlemény kiadása után rögtön kötelezővé is tette a belépéshez.