Twitter 惊现密码漏洞,强制 3.3 亿用户修改密码!

Facebook 刚歇下,Twitter 又搅和进来了。

Twitter 惊现密码漏洞,强制 3.3 亿用户修改密码!

图片来源:The Verge

昨日,Twitter 在其官方博客上表示,他们在应用内部发现了新的密码漏洞,“出于谨慎考虑”,建议 3.3 亿月活跃用户都能够修改下密码。

Twitter 强调,此漏洞非人为导致、也不存在违反滥用的情况。其首席技术官 Parag Agrawal 表示,该漏洞是在散列处理(将密码转换成随机字符串的过程)中发现的,导致密码被以普通文本的形式存储在了 Twitter 内部日志中。

通常情况下,我们会使用“bcrypt”函数进行散列处理来掩盖密码,该函数使用存储在 Twitter 系统中的随机数字和字母替换掉用户实际设置的密码。这使得内部系统能够在不泄露密码的情况下验证帐户——这是一个行业标准。

由于我们的技术疏忽,导致在完成散列过程前密码被写入了内部日志。目前,我们已经加以修复,并正部署措施预防这一漏洞再度出现。

但是,Twitter 公司并没有说明是何时发现的这个漏洞,也未透露有多少用户的密码可能已被泄漏,但该公司确实正在积极敦促其整个用户群更改密码。

Twitter 惊现密码漏洞,强制 3.3 亿用户修改密码!

此外,他们也提示到,用户可以采取以下几个步骤来保证帐户安全:

  • 更改 Twitter 密码,并且尽量不要使用之前的常用密码;

  • 增加密码强度,并且保证与其他网站的密码有所区分;

  • 开启登录验证,即双因素验证——这是能够提升帐户安全性的最佳措施;

  • 可以启用 LastPass、1Password 等账号密码管理软件,在任何地方都可以使用强大而独特的密码。

“发生这件事我们非常抱歉”,Twitter 在其博客中写到,“我们感谢用户对我们的信任,并会努力维系这份信任感。”

目前来看,虽然此次的密码漏洞涉及面较广,但是因为系 Twitter 内部的原因,所以并没有造成很大的影响。而且有 Facebook 的前车之鉴,在社交平台人人自危的情况下,Twitter 的“自杀式”披露还是颇为理智的。

虽说此消息一经公布后,Twitter 的股价直接下跌了 1%,也难以解释为什么 Twitter 这样的公司会犯下如此“低级”的错误。但这也是一个好的转变,表明这些社交平台正在将更多的主动权交到用户手中。

相关推荐