3.3亿用户密码疑泄露,Twitter出现重大安全漏洞!

阅读量    46506 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

5月4日消息,据外媒VentureBeat报道,Twitter宣称发现内部密码漏洞,目前该公司已修复了这一漏洞。不过,“出于足够的谨慎,”Twitter还是敦促超过3.3亿用户考虑修改密码。

事因

Twitter首席技术官帕拉格·阿格拉瓦尔透露,最近在散列(Hashing)处理过程中发现了一个漏洞,导致密码以普通文本形式存储在Twitter的内部日志中,散列是将密码转换成随机字符串的过程。这个漏洞导致密码“被写入内部日志中,然后完成散列处理过程”。阿格拉瓦尔表对此达歉意,他写道:“我们承认并感激你们给予的信任,并致力于每天都赢得这种信任。”

此外,Twitter在博客中表示:“因为这个漏洞,在散列过程之前,用户密码会被存储在公司计算机系统的一个内部日志中。我们自己发现了这一漏洞,加以修复,并正部署措施预防这一漏洞再度出现。”Twitter在博客中还表示:“我们对发生的这一切感到非常抱歉。”

Twitter方面表示,这个漏洞是最近才发现的,并未透露究竟有多少用户密码受到影响。Twitter该漏洞是在公司内部发现的,而且内部调查未发现这些密码被黑客偷盗,或者是被公司内部人士误用。不过即便是如此,仍正推荐用户在Twitter上更改他们的密码,并更新其他使用与Twitter密码相同的账号。同时,Twitter建议用户采取预防措施,确保他们的帐户是安全的,包括更改密码,并启用Twitter的双重身份验证服务,以防止帐户被黑客劫持。

最新情况

即便Twitter声称已经修复了漏洞,但是密码安全问题还是让用户揪心。据悉,前不久Equifax、Facebook和Uber等一系列安全事件接连发生,全球立法者和监管部门开始对企业存储和保护用户数据进行详查。有消息人士透露,此次受Twitter影响的用户密码数量“非常巨大”,这个隐患已隐藏数月。此外,Twitter在几周之前发现了这一漏洞,并向部分监管机构报告了此事。

据了解,欧盟的新隐私法规《通用数据保护条例》(GDPR)将于本月底生效。该条例要求服务商必须征得用户同意,才能使用用户的个人数据。如果违反该条例,企业将会面临重罚。这意味着,科技公司在欧洲必须提醒用户针对重要数据进行权限设置,并且默认隐私设置必须是共享内容最小化的选项甚至是不共享数据。

援引外媒数据,Twitter股价周四在纽交所常规交易中上涨0.12美元,涨幅为0.39%,报收于30.67美元。但受此消息影响,Twitter股价下跌0.16美元,跌幅为0.52%,报收于30.51美元。

隐私问题无小事,看到Facebook和Twitter因为隐私安全问题导致的后果,希望能够给相关企业敲响警钟,并推动相关监管制度的完善。

 

事件补充(from360CERT )

这是继 GitHub 这周宣布类似事故后的第二起案例。和 GitHub 事故类似,推特内部服务器日志中记录的用户密码是明文形式。

推特表示,在正常情况下会通过 bcrypt 哈希函数加密密码,而这种做法是顶级技术企业的通用行业标准。推特的一名发言人指出,由于存在 bug,密码在完成哈希过程前被写入一个内部日志中。并表示是公司内部发现了这个问题,因此将密码删除并正在制定防止这个 bug 再次发生的计划。

推特尚未回应受影响人数有多少。将更改密码的决定留给用户。

GitHub 向所有受影响用户发邮件说明并强制所有受影响用户重置密码。而推特尚未收到任何类似邮件,不过一些用户被强制选择一个新密码。推特也在网站上发布了一份安全公告。
推特认为这并非大的安全问题,指出系统未遭入侵而且仅有少数几名员工可能看到了被暴露的密码。

 

参考链接

品途商业评论(ID:pintu360):http://www.sohu.com/a/230386421_363549

360CERT:https://cert.360.cn/daily

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多