知識星球“近期我們發現了一個在內部日誌中儲存使用者密碼的程式漏洞。我們已修複了該漏洞,尚未發現該漏洞被任何人外洩或濫用的跡象。但作為預防措施,請考慮更改您使用現有賬戶密碼的所有伺服器密碼。”
“推特”自曝安全漏洞,建議3.36億使用者修改賬號密碼。資料圖
當地時間5月3日晚,社交網站“推特”在其官方賬號中釋出了上述資訊,敦促其3.36億使用者更改密碼。當使用者登入“推特”看到彈出的安全提示時,可點選連結直接跳轉至“密碼重置”頁面。美國有線電視新聞網(CNN)科技頻道進而提出,如若使用者在Facebook、銀行賬戶等電子賬號中使用了同樣的密碼,也應立即做出修改。
據美國哥倫比亞廣播公司(CBS)3日報道,出現問題的是“推特”的密碼雜湊。通常情況下,“推特”的使用者密碼等敏感資訊應被“打亂”後儲存在其內部伺服器上,例如,如果一名使用者以“123456”為密碼,其在“推特”伺服器的資料庫中不會顯示為“123456”,而是應以某種數字與字母的隨機組合形式被儲存。這樣可以在不洩露使用者密碼的情況下驗證使用者的登入資訊,是一種行業內的規範做法。
但“推特”在一則宣告中承認,該公司使用了一種名為“bcrypt”的雜湊演演算法儲存加密使用者密碼,但是“由於某個漏洞”,在完成雜湊加密之前,使用者密碼被以純文字形式儲存起來。“推特”方面並未言明上述“漏洞”具體是什麼。
“我們自己發現了這個錯誤,刪除了文字密碼,並正在採取措施避免這個錯誤再次發生。”“推特”首席科技官阿格拉瓦勒表示。
“推特”公司亦沒有說明何時發現了上述錯誤。
美國著名科技部落格網站Techcrunch指出,對於“推特”這樣規模的企業而言,犯下如此基礎的資訊保安錯誤是不同尋常的。但這也是一個契機,推動使用者將賬號密碼安全掌握在自己手中,使用者可以選擇雙重身份驗證或利用LastPass、1Password之類的賬號密碼管理軟體工具,以確保即便平臺出現安全漏洞時,自己的賬號也不會受到威脅。
*來源:澎湃新聞
更多資訊
◈ 有人嘗試在流行的 JavaScript 包中植入後門
http://t.cn/Ru1z21V
◈ Windows 10更新導致Chrome卡死 微軟正在著手修複
http://t.cn/Ru1zUMO
◈ 隔屏鬥法 3小時“擒”駭客
http://t.cn/Ru1z41J
◈ 研究者又發現8個CPU新漏洞 英特爾、ARM等晶片受影響
http://t.cn/Ru1zq4O
(資訊來源於網路,安華金和蒐集整理)
