Twitter przechowywał hasła w plaintext (!) – zmieńcie hasła

04 maja 2018, 10:38 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Niedawno podobny problem miał GitHub, obecnie Twitter:

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password.

Po raz kolejny pojawia się dość enigmatyczna fraza „internal log”. Może to się kojarzyć z plikiem tekstowym (jak to log), ale w zasadzie może oznaczać wszystko – łącznie z osobną tabelą w bazie danych czy osobną kolumną w tabeli z użytkownikami (na siłę nazwijmy to ‚internal logiem’ :)

Nie mamy dostępnych wielu szczegółów – poza tym, że dodatkowo hasła przechowywane są w bcrypt(), a log został już wyczyszczony (ciekawe czy również z kopii zapasowych?):

Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Twitter poza zmiana hasła, zaleca też konfigurację dwuczynnikowego uwierzytelnienia.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Xxx

    I tak moze byc z kazym serwisem… uzytkownicy moga jedynie dax wiare serwisowi ze dba o bezpieczensteo

    Odpowiedz
  2. gosc

    „Xxx”
    Nie dokonca …
    – jesli nie masz wplywu na logowanie sie i jego sposobu,
    – nie mozesz przegladac logow (IP, czas, fragm. dodatkowego klucza) z logowan,
    – nie masz ustawionych natychmiastowych ostrzezen gdy ktos probuje lub juz sie zalogowal,
    to sie zgodze, nie mozemy mowic o bezpieczenstwie.
    Czy nie lepiej gdybys taka mozliwosc mial ?
    Nawet gdyby jeden z administratorow jakiegos serwisu bylby nieuczciwy, to gdyby to sie wydalo, to serwis mialby zszargana opinie, a my moglibysmy zmienic natychmiast serwis.
    Mozna sie przyczepic jeszcze tego ze zbyt chetnie serwisy dziela sie naszymi danymi, ale tu chyba trzeba prawo dopracowac.
    Bo serwisowi napewno nie bedzie zalezec sprawdzic czy prokurator sprawdza slusznie, czy nie, nasze dane. Do tego musi byc stworzony odpowiedni lancuszek kontroli.

    Odpowiedz

Odpowiedz