Социальная сеть Twitter уведомила большинство пользователей о том, что им стоит подумать о смене пароля от аккаунта. Представители сервиса объяснили, что из-за программной ошибки пароли в незашифрованном виде записывались во внутренний лог-файл.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 мая 2018 г.
"Мы недавно обнаружили ошибку, из-за которой пароли хранились в незащищенном виде во внутреннем логе. Мы исправили баг и не видим признаков взлома или ненадлежащего использования [данных] кем-либо. Подумайте, не нужно ли вам на всякий случай сменить пароль во всех сервисах, где вы использовали этот пароль", — сообщил официальный микроблог поддержки соцсети.
Сообщается, что предложение сменить пароль пришло в виде уведомления большинству пользователей социальной сети. Как объяснил в официальном блоге главный технологический директор компании Параг Агравал, Twitter использует для защиты паролей метод хэширования bcrypt, основанный на шифровальном алгоритме Blowfish. Этот метод позволяет проверять пароли пользователей, храня для сверки не их, а полученные из них преобразованием с помощью алгоритма последовательности символов — хэши. По такому стандарту работают большинство интернет-сервисов.
Однако из-за ошибки в программном коде, объяснил Агравал, пароли записывались во внутренний лог-файл до проведения хэширования. "Мы нашли эту ошибку сами, удалили пароли и работаем над тем, чтобы предотвратить подобные ошибки в будущем", — сообщил техдиректор соцсети.
Двумя днями ранее, напоминает Ars Technica, подобный баг был обнаружен на платформе хостинга программного кода GitHub. Он затронул небольшую группу пользвателей, и всем им сбросили пароли в принудительном порядке. Однако Twitter на такой шаг не решился, предоставив пользователям самим определять необходимость смены пароля — возможно, в компании побоялись, что неудобства со сменой пароля могли заставить некоторых не слишком активных пользователей вовсе отказаться от Twitter.