W wyniku błędu Twitter zapisywał hasła w logach – wskazana zmiana

Twitter poinformował w oficjalnym komunikacie, że w wyniku błędu, część haseł mogła zostać przypadkowo zapisana w wewnętrznych logach firmy w formie zwykłego tekstu (plaintext).

W normalnych okolicznościach, w momencie logowania się użytkownika do serwisu, hasło powinno zostać zamaskowane przy użyciu funkcji skrótu (Bcrypt), co uniemożliwiłoby odczyt. Niestety w wyniku błędu[1] hasło było zapisywane przed zakończeniem tworzenia skrótu Bcryptem. Twitter poinformował również, że błąd został znaleziony w wyniku wewnętrznego audytu i na chwilę obecną nie ma żadnych informacji by jakikolwiek użytkownik ucierpiał w wyniku nieprawidłowego przechowywania hasła.

 

 

W wyniku tej sytuacji Twitter zachęca użytkowników do zmiany hasła do konta. Warto zaznaczyć, że jeżeli ktoś korzysta z tego samego hasła w kilku serwisach (co nie jest najbezpieczniejszą praktyką), to powinien je zmienić w każdym z nich (według zasady jeden serwis/usługa – jedno hasło). Bezpieczne hasło powinno składać się z małych i dużych liter, znaków specjalnych oraz cyfr. Dobrą opcją jest równie korzystanie z menedżerów haseł uznanych firm, dzięki czemu wystarczy pamiętać jedno hasło główne, a pozostałe są przechowywane w odpowiednim kontenerze i pokazywane dopiero po podaniu hasła głównego. 

[1] https://www.bleepingcomputer.com/news/security/twitter-admits-recording-plaintext-passwords-in-internal-logs-just-like-github/