2018. október 21., vasárnap

Gyorskeresés

Útvonal

Hírek » Biztonság rovat

Súlyos biztonsági incidens a Twitternél

  • (f)
  • (p)
Írta: | | Forrás: IT café

Mind a hiba minősége, mind mértéke különösen komolynak tűnik. Még akkor is, ha arra egyelőre nincs bizonyíték, hogy kihasználták volna.

A még mindig talpon álló és sokak által kedvelt mikroblog-oldal, a Twitter tegnap hivatalos közleményt adott ki a felhasználók figyelmeztetésére, ezzel párhuzamosan bejelentkezéskor minden felhasználó találkozik egy külön üzenettel is. Ebben egy biztonsági kockázatra hívják fel a figyelmet. Ez önmagában – és a Twitternél sem – szokatlan, de ami különösen érdekessé teszi, az az, hogy kivétel nélkül minden felhasználót érint, vagyis több mint 330 millió fiókot.

Hirdetés

A tájékoztatás szerint egy olyan hibát fedeztek fel, melytől minden biztonsági szakembernek feláll a hátán a szőr: egy belső logolási mechanizmus állítólag szövegesen tárolta a felhasználók jelszavait, holott ez a felhasználási feltételek szerint tilos, a vállalat munkatársai sem láthatják a jelszavakat. A hibát kijavították, az eddigi vizsgálat alapján nem találtak bizonyítékot arra, hogy bárki is visszaélt volna vele.

Twitter
[+]

Ugyanakkor elővigyázatosságból arra kérnek mindenkit, hogy haladéktalanul változtasson jelszót – különösen azok ügyeljenek – hangzik a megszokott figyelmeztetés –, akik a Twitter-jelszavukat máshol is használták, ugyanis ha mégis hozzáfért valaki, automatizmusokkal végigtesztelheti a fontosabb internetes szolgáltatásokat.

A hiba jellegéről leírják, hogy a kvázi szabványnak tekinthető bcrypt segítségével végzik a titkosítást, a hash előállítását, de valamilyen hiányosságnak köszönhetően a felhasználó által megadott jelszó plain text formában rögzítésre került egy naplófájlban, mielőtt a titkosítás megtörtént volna. A hibát a Twitter szakemberei fedezték fel, akik eltávolították a rögzített jelszavakat, majd átírták a kódot.

A vállalat minden felhasználójától elnézést kért a történtek miatt.

Gyártók, szolgáltatók

Copyright © 2000-2018 PROHARDVER Informatikai Kft.