Twitter призвал пользователей срочно поменять пароли
4 мая 2018 года
Сервис микроблогов Twitter порекомендовал всем пользователям оперативно изменить пароли к аккаунтам. Специалисты компании обнаружили в системе защиты ошибку.
Представители сервиса пояснили, что до сих пор использовали технологию, которая маскировала устанавливаемые пользователями пароли. По задумке, никто из сотрудников компании не мог их видеть.
По словам технического директора Twitter Парага Агравала (англ. Parag Agrawal), соцсеть хеширует пароли, используя популярную функцию bcrypt, которая заменяет фактический пароль случайным набором чисел и букв, позволяя системам Twitter проверять учетные данные, не раскрывая паролей, а также маскирует их, чтобы сотрудники компании не могли их увидеть.
Однако недавно была обнаружена ошибка, которая демаскировала пароли для сотрудников:
 | Недавно мы обнаружили ошибку, из-за которой пароли хранились незамаскированными во внутреннем журнале. |  |
Агравал отметил:
| Из-за ошибки пароли были записаны во внутренний журнал до завершения процесса хэширования. Мы самостоятельно обнаружили данную ошибку, удалили пароли и реализуем планы по предотвращению повторения данной проблемы. | |
В компании добавили, что ошибка ликвидирована. По предварительным данным внутреннего расследования, какого-либо серьёзного ущерба она не причинила. Однако всех пользователей просят сменить пароли доступа к системе. Это касается по меньшей мере 330 миллионов человек.
Ранее с аналогичной проблемой столкнулся GitHub.
3 мая 2018 года некоторые пользователи получили письмо от администрации портала GitHub, в котором сообщалось о необходимости смены пароля из-за ошибки, позволившей небольшому количеству сотрудников просматривать учетные данные посетителей сайта в незашифрованном виде.
«В ходе регулярного аудита GitHub мы обнаружили, что появившаяся недавно ошибка привела к раскрытию небольшого количества паролей пользователей в нашей внутренней системе регистрации», — следует из письма.
Несколько сотрудников GitHub могли видеть пароли, однако маловероятно, что они воспользовались данной ситуацией, отметили администраторы портала.
«Мы исправили ошибку, но вам нужно сбросить пароль, чтобы восстановить доступ к вашей учетной записи», — добавили они.
В настоящее время неясно, что именно вызвало появление данной ошибки. По словам представителей GitHub, портал хранит пароли, зашифрованные с помощью алгоритма bcrypt, однако из-за ошибки «пароли пользователей записывались в журналы в виде простого текста».
Источники
 |
Эта статья содержит материалы из статьи «Twitter призвал пользователей срочно поменять пароли», опубликованной на сайте Klops.ru и распространяющейся на условиях лицензии Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0). |
| Эта статья содержит материалы из статьи «Пароли пользователей Twitter оказались раскрыты из-за ошибки», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
| Эта статья содержит материалы из статьи «Администраторы портала GitHub могли просматривать пароли пользователей», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). | |
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
