雖然Twitter存儲的用戶密碼都是加密過的,但卻依然有洩露的風險。本週四,Twitter官方自曝安全漏洞,稱部分用戶的賬號密碼以純文本的形式出現在了該公司的內部網絡上,不過只有Twitter的員工可以訪問。這意味著推特3. 3 億用戶的密碼有被洩露的風險。
在向大多數Twitter用戶推送的信息中,該公司表示:
“當你為自己的Twitter賬號設置密碼時,我們使用掩碼處理技術,沒有工作人員能夠看到密碼。我們近期發現了一個把密碼未經掩碼處理保存在內部日誌中的漏洞,它將密碼存儲在了一個內部日誌中。目前,我們已經修復了這個漏洞,而且我們的調查未顯示出任何人的洩露或濫用跡象。謹慎起見,我們請你考慮在所有使用過此密碼的服務上更改密碼。”
該公司的首席技術官Parag Agrawal 在一篇官方博客中寫道,Twitter使用了加密散列函數(基於Bruce Schneier的Blowfish加密算法)來存儲用戶的密碼。同時,Agrawal 指出,“在這種情況下,我們的系統就可以在不洩露用戶密碼的情況下,驗證其賬戶憑證。這是行業標準。”
但是,由於編碼錯誤,Agrawal 解釋道,“在完成散列(Hashing)處理過程之前,密碼被寫入到了內部日誌中。我們自己發現了這個漏洞,刪除了密碼,並且正在實施一些舉措以避免這類事件再次發生。”
Twitter的此次密碼洩露,與前不久GitHub將明文密碼記錄在內部日誌中有些類似。雖然在這兩種情況下,密碼暴露在Twitter或者Github之外的人的幾率較低,但是仍存在一種可能性,即有人可能在寫日誌文件或獲取一份日誌副本時,截獲未加密的密碼。
所以,如果您是Twitter用戶,或者是收到GitHub的用戶之一的話,應該立即在受影響的服務商更改密碼,甚至是在使用過密碼的其他地方都要進行更改。不過,如果您為自己的Twitter賬戶提供了雙重認證,那麼風險就相對小一些,但是依然要保持警惕,因為能夠訪問賬戶數據的人,也可能會使用它來訪問您相關的電子郵件以及其他網絡賬戶。
【關注我們,看最有料的雲計算】
閱讀更多 雲有料 的文章
