Twitter出现大面积故障建议所有用户更改密码

Twitter发现一个存储在内部日志中未被屏蔽的密码的故障后，正在告诉它的3.3亿用户更改他们的密码。该公司表示，修复了这个漏洞，并且没有任何违规或滥用的迹象，但鼓励更新密码作为预防措施。

我们最近发现了一个存储密码在内部日志中未被屏蔽的bug。我们修复了这个错误，并没有任何人违反或滥用的迹象。作为预防措施，请考虑更改您使用此密码的所有服务的密码。

这个问题是由于Twitter密码哈希中的一个错误而发生的。这是公司加密或扰乱他们存储在内部服务器上的密码的标准安全做法。因此，如果您的密码是“12345”（我们强烈建议不要），它不会在网站内部数据库中显示为“12345”，而是显示每个字符的数字和字母的随机组合。

Twitter表示它使用称为bcrypt的哈希算法存储加密密码。但社交网络发现它在加密之前以明文存储密码。Twitter说这是因为一个bug。

该公司没有回应更多细节的要求。

Twitter首席执行官杰克多尔西在推文中表示，该错误导致帐户密码在完成掩蔽/散列过程之前被写入内部日志。“ Twitter在发现它之后删除了日志，并且该公司告诉用户它正在“实施计划来防止这个bug再次发生。”

当涉及拥有数百万人信息的公司时，网络安全漏洞可能会产生重大影响。Equifax违规，也涉及内部未加密的数据。

如果Twitter被黑客入侵，则散列密码会提供额外的保护。以明文存储密码会造成严重的安全问题，因为它使潜在的黑客轻松访问敏感信息。代码存储库网站GitHub 也遭受类似的错误 ，其中密码意外存储在明文中。

“网络安全公司ThreatModeler首席执行官Archie Agarwal表示：”如果所有3.3亿个密码都以明文形式存储在内部日志中，那么它不是一个真正的错误，而是一个设计缺陷。“它也似乎已经存在了很长一段时间 - 这是为什么他们要求每个人而不是一些用户更改密码的另一个原因。”

Twitter没有评论该bug在被发现之前存在多久。

虽然Twitter表示不认为密码因违规或误用而丢失，但内部日志上的密码是加密的，因此公司访问的员工也无法看到它们。

Twitter一直在淡化这个问题的影响。

“我要强调，这不是违规行为，我们的调查显示没有滥用的迹象，”Twitter发言人说。“因此，我们正在分享这些信息，以便人们可以对他们的账户安全做出明智的决定。”

Twitter首席技术官Parag Agrawal采用了类似的语气，在推文中写道： “我们正在分享这些信息，以帮助人们对他们的账户安全做出明智的决定。我们不需要，但相信这是正确的。 “

阿格拉瓦尔后来为他的陈述道歉，指出说“我们不需要”是错误的。

用户在登录Twitter时会收到更改密码的提示。

防病毒公司Avast的安全研究员Martin Hron说，”你的密码被破坏的风险属于低到中等的范畴。“但是，建议您更改密码，因为到目前为止，没有人知道记录已经存在多久。”