前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Twitter不慎以纯文本形式泄漏用户密码

Twitter不慎以纯文本形式泄漏用户密码

作者头像
FB客服
发布2018-07-30 15:01:18
1.2K0
发布2018-07-30 15:01:18
举报
文章被收录于专栏:FreeBuf

经过内部审计之后,Twitter近日承认,他们的密码存储机制存在错误,导致内部日志中记录了一些用户的密码。

在Twitter之前,GitHub本周早些时候也发布了类似的声明。

就像在GitHub事件中一样,密码以明文格式记录在Twitter的内部服务器日志中。

明文密码是饱受诟病的安全措施,如今的网站往往会使用哈希加盐等方式存储用户的密码,避免密码泄露后被黑客知晓用户真正的密码。

Twitter表示,它通常通过将密码传递给bcrypt散列函数来加密密码,这也是顶尖的行业标准。

“但是在实际情况中由于存在bug,在完成哈希处理之前密码就被写入内部日志,”Twitter发言人称。 “我们自己发现了这个漏洞,删除了密码,并且正在修复,以防问题再次发生。”

让用户决定是否更改密码

GitHub查出明文密码时,给所有受影响的用户发送了电子邮件并且强制让他们重置密码。

但是Twitter没有发送邮件提醒,有些用户被强制修改密码,小编登陆Twitter发现,的确出现了一个警告窗口。

Twitter并不认为这是非常重大的安全问题,Twitter认为它的系统从未被破坏过,只有少数员工可能看到过泄露的密码。

“我们的调查显示没有任何人滥用了密码,”Twitter说

* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 让用户决定是否更改密码
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档