Твиттер сегодня спросил все его пользователи рассмотреть вопрос об изменении своих паролей после обнаружения ошибки, из-за которой они сохранялись «в открытом виде во внутреннем журнале».
Согласно Twitter, ошибка была исправлена, и после расследования не было обнаружено «никаких признаков взлома или неправильного использования кем-либо».
Недавно мы обнаружили ошибку, из-за которой во внутреннем журнале сохранялись незамаскированные пароли. Мы исправили ошибку, и у нас нет признаков нарушения или неправильного использования кем-либо. В качестве меры предосторожности рассмотрите возможность изменения пароля во всех службах, где вы использовали этот пароль. https://t.co/RyEDvQOTaZНедавно мы обнаружили ошибку, из-за которой во внутреннем журнале сохранялись незамаскированные пароли. Мы исправили ошибку, и у нас нет признаков нарушения или неправильного использования кем-либо. В качестве меры предосторожности рассмотрите возможность изменения пароля во всех службах, где вы использовали этот пароль. https://t.co/RyEDvQOTaZ— Поддержка Твиттера (@TwitterSupport) 3 мая 2018 г.3 мая 2018 г.
Узнать больше
Сама ошибка связана с функцией хеширования, которую Twitter использует для маскировки паролей. Твиттер говорит, что пароли были записаны во внутренний журнал до того, как процесс хеширования был завершен, что оставило их открытыми. Из Твиттера:
Мы маскируем пароли с помощью процесса, называемого хэшированием, с помощью функции, известной как bcrypt, которая заменяет фактический пароль случайным набором цифр и букв, которые хранятся в системе Twitter. Это позволяет нашим системам проверять учетные данные вашей учетной записи, не раскрывая ваш пароль. Это отраслевой стандарт. Из-за ошибки пароли записывались во внутренний журнал до завершения процесса хеширования. Мы сами обнаружили эту ошибку, удалили пароли и реализуем планы по предотвращению повторения этой ошибки.
Из соображений осторожности пользователям Твиттера следует сбросить свой пароль для службы, а также пароли для любых служб, использующих тот же пароль. Сейчас также было бы неплохо начать использовать двухфакторную аутентификацию если вы еще не.