Twitter、内部ログにパスワードがマスクされないまま保存されるバグが発見されたとしてユーザーに対しパスワードの変更などを求める。

スポンサーリンク

 Twitterが内部ログにパスワードがマスクされないまま保存されるバグが発見されたとしてユーザーに対しパスワードの変更などを求めています。詳細は以下から。


 米Twitter, Inc.‎は現地時間2018年05月03日、同社の内部ログにユーザーのパスワードがマスクされないまま保存されていたとして、ユーザーに対しパスワードの変更などを検討するように要請しています。

When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log. We have fixed the bug, and our investigation shows no indication of breach or misuse by anyone.

Keeping your account secure – Keeping your account secure

スポンサーリンク

バグと対策

 公開された公式ブログによると、ユーザーのパスワードは通常Bcryptでハッシュ化され、ランダムな数字と文字に置き換えられて保存されますが、今回発見されたバグはこのパスワードがハッシュ化される前に内部ログに書き込まれてしまうというもので、

We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.
Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Keeping your account secure – Keeping your account secure

Twitterは既に内部ログに保存されたパスワードを削除し防止策を講じており、現段階では保存されたパスワードが侵害や悪用されたりした形跡はないようだとツイートしていますが、ユーザーに対しては”Settings“ページからパスワードの変更や以下の方法でアカウントをよりセキュアにするように求めています。

アカウント・セキュリティのTips

  1. Twitterと他のサービスで同じパスワードを利用している場合は変更して下さい。
  2. 他のWebサービスで再利用しない強力なパスワードを使用する。
  3. 2ファクタ認証を利用して、アカウントのセキュリティを向上させてください。
  4. パスワードマネージャを利用して、強力でユニークなパスワードを生成する。

おまけ

 カナダAgileBitsはこの問題に対し、パスワード流出問題などがあったサイトを確認できる「Watchtower」のデータベースにTwitterを追加し、1PasswordのTwitterアイテムに警告を出すと発表しています。