Twitterは、バグにより、ユーザのパスワードが平文で内部ログに保存されている問題が発覚

0
1176

Twitterは、アプリ内部で、パスワードが暗号化されていないログとして保存されているバグがあることを発表しました。 Twitterには誤用や悪用の兆候は見られないが、ユーザーがパスワードを変更することを推奨しています。



Twitterは、バグにより、ユーザのパスワードが平文で内部ログに保存されている問題が発覚

Twitterでは、通常、ユーザーのパスワードを保護するためにハッシュを使用していますが、ハッシュ処理を完了する前に、バグにより内部ログにパスワードが書き込まれていると説明しています。ここで重要なことは、この平文ログを発見した人物が、Twitterの従業員であり、不正または悪用の兆候はまだないとのことです。

実際のパスワードをTwitterのシステムに格納されている数字と文字のランダムなセットに置き換えるbcryptという関数を使用した、ハッシュと呼ばれるプロセスによってパスワードを暗号化しています。

しかし、バグのため、パスワードはハッシュ処理を完了する前に内部ログに書き込まれていたといいます。私たちはこのエラーを自分たちで発見し、平文パスワードを削除、このバグが再発するのを防ぐ計画を立てています。

Twitterは、このバグが、全てのユーザーのパスワードに影響を及ぼしているかどうかを公表していませんが、すべてのユーザーがパスワードを変更することを推奨しています。

GitHubが平文のパスワードを保存していた同様のバグを明らかにしてから数日後に、Twitterも同様の問題で発表を行なっています。

ログインの検証、パスワードマネージャーの使用など、アカウントのセキュリティに関するヒントの全リストについては、Twitterのブログにアクセスしてください。