快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

Twitter不慎以纯文本情势泄漏用户暗码

Twitter.png

经过内部审计以后,Twitter今天承认,他们的暗码存储机制存在错误,导致内部日记中记录了一些用户的暗码。

Twitter之前,GitHub本周早些时辰也发布了类似的声明。

就像在GitHub事故中同样,暗码以明文格式记录在Twitter的内部服务器日记中。

明文暗码是饱受诟病的安全措施,黑客网,如今的网站往往会使用哈希加盐等方式存储用户的暗码,避免暗码泄露后被黑客知晓用户真实的暗码。

Twitter表示,它通常通过将暗码传递给bcrypt散列函数来加密暗码,这也是顶尖的行业标准。

TIM截图20180504150304.png

“然则在实际情形中由于存在bug,在实现哈希处理之前暗码就被写入内部日记,”Twitter发言人称。 “我们本人发现了这个漏洞,删除了暗码,并且正在修复,以防问题再次发生。”

让用户决定是否更改暗码

GitHub查出明文暗码时,给所有受影响的用户发送了电子邮件并且强制让他们重置暗码。

TIM截图20180504150248.png

然则Twitter没有发送邮件提醒,有些用户被强制修改暗码,小编上岸Twitter发现,的确出现了一个正告窗口。

TIM截图20180504130746.png

Twitter并不认为这是无比重大的安全问题,Twitter认为它的体系从未被损坏过,只有少数员工可能看到过泄露的暗码。

“我们的调查显示没有任何人滥用了暗码,”Twitter说。

* 参考来源:BleepingComputer,Sphinx,转载注明来自FreeBuf

您可能还会对下面的文章感兴趣: