Twitterが全ユーザーにパスワード変更を推奨、ログに生パスワードを保存していたらしい

Twitterpasswordhenkousitene

Twitterが、すべてのユーザーに対してパスワード変更を呼びかけています。

バグか何らかの理由で、ユーザーのパスワードがハッシュ値に変換されないままログに保存されていたからだそうで(要するに生パスワードのままログに保存されていた)、該当のログは既に削除され、ログの外部流出の痕跡はなかったといいますが、念のためユーザーにはパスワードの変更を推奨しているということです。

ハッシュ化とは、ハッシュ関数を使って元のデータをハッシュ値に変換すること。暗号化とは違い元のデータに戻す(復号化)ことはできないので、パスワードの管理にも用いられます。

ハッシュ化していれば仮にログが流出してもパスワードが知られることはありませんが、今回のケースでは生のパスワードのままログに保存されていたので、もしログが外部に流出していたらパスワードが大量流出する危険性があったということになります。

それはわかったけど、変更とか・・・面倒くさい。

っていうのが正直な感想。

GWだし。
いやGWじゃなくても、殆どのユーザーは変更せずにそのままいきそうですよね。

Twitterさんの言うとおり本当に流出していないのなら、それでも問題は無いはず。

Twitterアカウントのパスワードが設定されるときに、Twitterの誰もパスワードを見ることができないように、暗号化するテクノロジーを使用しています。 Twitterは最近、パスワードが暗号化されないまま内部ログに保存されるバグを発見しました。 Twitterはこのバグを修正しました。Twitterの調査では第三者による不正や乱用は確認されませんでした。

Twitterは、bcryptという機能を使用するハッシングと呼ばれるプロセルを通じて、パスワードを暗号化しています。bcryptは、実際のパスワードを数字と文字のランダム集合に置き換え、それがTwiterのシステムに保存されています。 これにより、Twitterのシステムは、パスワードを明らかにすることなく、アカウントログイン情報を認証できます。 これは業界標準です。

バグによって、ハッシング処理が完了する前に、パスワードが内部ログに書き込まれました。 Twitterがこのエラーを発見し、パスワードを削除し、このバグが再発することを防止する対策を講じています。

 30日間無料体験 Amazon Music Unlimited

6,500万曲以上が聴き放題、聞きたい音楽が広告なしで楽しめる、インターネット接続がない場所でもオフライン再生で。まずは30日間無料体験で!

関連するエントリー