Twitter призвал пользователей срочно поменять пароли

4 мая 2018 года

В Twitter

Сервис микроблогов Twitter порекомендовал всем пользователям оперативно изменить пароли к аккаунтам. Специалисты компании обнаружили в системе защиты ошибку.

Представители сервиса пояснили, что до сих пор использовали технологию, которая маскировала устанавливаемые пользователями пароли. По задумке, никто из сотрудников компании не мог их видеть.

По словам технического директора Twitter Парага Агравала (англ. Parag Agrawal), соцсеть хеширует пароли, используя популярную функцию bcrypt, которая заменяет фактический пароль случайным набором чисел и букв, позволяя системам Twitter проверять учетные данные, не раскрывая паролей, а также маскирует их, чтобы сотрудники компании не могли их увидеть.

Однако недавно была обнаружена ошибка, которая демаскировала пароли для сотрудников:

«Недавно мы обнаружили ошибку, из-за которой пароли хранились незамаскированными во внутреннем журнале.»

Агравал отметил:

«Из-за ошибки пароли были записаны во внутренний журнал до завершения процесса хэширования. Мы самостоятельно обнаружили данную ошибку, удалили пароли и реализуем планы по предотвращению повторения данной проблемы.»

В компании добавили, что ошибка ликвидирована. По предварительным данным внутреннего расследования, какого-либо серьёзного ущерба она не причинила. Однако всех пользователей просят сменить пароли доступа к системе. Это касается по меньшей мере 330 миллионов человек.

Ранее с аналогичной проблемой столкнулся GitHub.

3 мая 2018 года некоторые пользователи получили письмо от администрации портала GitHub, в котором сообщалось о необходимости смены пароля из-за ошибки, позволившей небольшому количеству сотрудников просматривать учетные данные посетителей сайта в незашифрованном виде.

«В ходе регулярного аудита GitHub мы обнаружили, что появившаяся недавно ошибка привела к раскрытию небольшого количества паролей пользователей в нашей внутренней системе регистрации», — следует из письма.

Несколько сотрудников GitHub могли видеть пароли, однако маловероятно, что они воспользовались данной ситуацией, отметили администраторы портала.

«Мы исправили ошибку, но вам нужно сбросить пароль, чтобы восстановить доступ к вашей учетной записи», — добавили они.

В настоящее время неясно, что именно вызвало появление данной ошибки. По словам представителей GitHub, портал хранит пароли, зашифрованные с помощью алгоритма bcrypt, однако из-за ошибки «пароли пользователей записывались в журналы в виде простого текста».

Источники



Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.