Twitter порекомендовал всем пользователям поменять пароли из-за ошибки при их хранении Статьи редакции

Часть паролей записывалась в текстовом виде, но это не привело к утечке, говорят в компании.

Twitter 3 мая посоветовал своим более чем 330 млн пользователям изменить пароли учётных записей. Такую необходимость руководство сервиса объяснило найденной ошибкой в системе хранения паролей.

Предупреждение опубликовано в блоге компании. Twitter также разослал пользователям уведомление об ошибке с рекомендацией сменить пароль.

Twitter использует для защиты паролей хэширование, храня их в виде зашифрованной комбинации псевдослучайных цифр и букв. Однако из-за ошибки в системе пароли были сохранены в незашифрованном виде во внутреннем журнале сервиса.

«Мы сами обнаружили эту ошибку, удалили пароли и сейчас работаем над тем, чтобы такое не повторилось», — говорится в заявлении Twitter. В компании не уточнили, как долго существовала эта ошибка и данные скольких пользователей могли быть скомпрометированы из-за неё. Источник Reuters рассказал, что число «существенно» и пароли оставались незащищенными в течение нескольких месяцев.

У нас нет оснований полагать, что информация о паролях когда-либо покидала системы Twitter или могла использоваться кем-либо.

служба поддержки Twitter

Какие меры рекомендует предпринять Twitter:

  • Изменить пароль в Twitter и других сервисах, где использовался этот пароль, включая сторонние приложения, такие как TweetDeck, Tweeten и Twitterrific.
  • Включить проверку при входе (двухфакторную аутентификацию). «Это единственное лучшее решение, которые вы можете предпринять для повышения безопасности вашего аккаунта», — говорится в сообщении компании.

После закрытии основной сессии на Нью-Йоркской бирже стоимость акций Twitter снизилась на 1%, до $30,34.

0
15 комментариев
Написать комментарий...
Mark Rapida Gromov

что может быть более бесполезным, чем угон твиттер-аккаунта?

Ответить
Развернуть ветку
DM

угон аккаунта в Одноклассниках

Ответить
Развернуть ветку
Ежик В-Тумане

Угон в "Мой Мир"

Ответить
Развернуть ветку
Igor Erokhin

особенно медведева или трампа, ага.

Ответить
Развернуть ветку
Mark Rapida Gromov

Угонят аккаунт трампа и будут про дружбу-магию писать, ага

Ответить
Развернуть ветку
Anatoly Tuleninov

Достаточно там написать: Я отдал приказ к запуску боеголовок по России. И начнётся веселуха и рокинролл

Ответить
Развернуть ветку
Mark Rapida Gromov

а твиттер-сообщения можно считать официальным заявлением уже? Что я пропустил? 😰

Ответить
Развернуть ветку
Anatoly Tuleninov

Лёгкий элемент паники никто не отменял))

Ответить
Развернуть ветку
Mike Kosulin

многие используют для Oauth тви, так что не особо и бесполезно.

Ответить
Развернуть ветку
Mark Rapida Gromov

знаю, сам использую вход через твиттер местами

Ответить
Развернуть ветку
Serge Arsentiev

В основном угон прикрепленной к нему почты и других экаунтов - в случае если пароль везде одинаковый. А так - у них "неправильный" твит может стоить рабочего места, и это еще как минимум. Теперь идеальная отмазка - мол это был не я

Ответить
Развернуть ветку
Александр Мазалецкий

Вот я понять не могу, там чего-то студенты что ли работают, столько денег вливают, а пароли постоянно ни защищены? Как?

Ответить
Развернуть ветку
Serge Arsentiev

Нормально так. "No security in this crazy world" - pwlview из середины 90-х ...

Ответить
Развернуть ветку
Serge Arsentiev

Грубо говоря, стояло у них, например для испанской версии:
pwdhash = pwd; // kill this line before production, for test purpose only
# pwdhash = md5 (pwd); // this code for production, launch party was great, I'm still drunk!
И так получилось, что забыли исправить, а не видели, потому что дальше тесты гнали в-основном на английской версии, а испанская работала сама собой, код копипастили при релизах и все норм.

Да, понятие "студенческий проект", относится ко многим действующим Internet проекта. Поясню - это когда студент при сдаче IT диплома сообщает "На месте этой кнопки будет функция, только я ее пока не дописал".
 
Моё мнение, программист-студент отличается от проф. программиста:
1. Зарплатой
2. Наличием, как у средневекового рыцаря, еще 20 человек "обслуги" - одни приносят задания, другие уносят тестировать код на реальных данных, третьи тестируют (тестеры), четвертые пытаются руководить с помощью план-графиков и KPI, пятые всю эту шоблу проводят по ведомости, следят за дресс-кодом, снабжают пончиками, соц. пацетами и флип-чартами для бесконечных встреч по разным параллельным проектам.
 
Результат, как мы видим, часто одинаковый - забытый кем-то во время отладки в старой версии кода вывод пароля без шифровки в некие временные файлы ... одинаково пропущен и одним студентом-программистом, и далее никого не смущал годами и возможно декадами .. потому что "работает и ладно".

P.S. Кстати, в Телеграмме может быть тоже самое. И везде-везде.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Anatoly Tuleninov

там троян по ссылке?

Ответить
Развернуть ветку
12 комментариев
Раскрывать всегда