推特用户密码被明文泄漏
2018-05-03 23:13
573 查看
今天登录推特的时候,系统发布一则“重要更新”,言辞含糊,说因为系统BUG,要求用户“出于高度谨慎之目的”修改密码。
在推特的官方博客里详细介绍了这个BUG,用户修改密码的主要原因是,此前发生的一个故障导致部分用户的账号密码以纯文本的形式出现在了该公司的内部网络上。
推特称,经内部调查发现,并无迹象表明这些密码已被公司内部人员盗取或滥用。尽管如此,推特仍敦促所有用户“出于高度谨慎之目的”而考虑更改密码。
该公司并未透露总共有多少用户的账号密码受到了影响。
外媒报道称,正常情况下,密码等敏感的个人数据应以HASH(散列)的形式进行存储,利用字母和数字的组合来保护密码本身的内容。但推特的故障则导致用户密码以纯文本形式公开存储在公司内部的一个日志上,没有进行任何HASH(散列)处理。
所谓“HASH”(散列),就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
推特在博文里称:“我们近日发现了一个bug,该bug导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。”
该公司指出,目前“并无理由认为这些密码信息离开过推特的系统”,也并无理由认为这些无保护的密码已被黑客获取,但未知的风险仍旧存在。推特建议用户更改密码以作为一种预防措施。
推特对此事件的解释如下:“我们利用一种所谓‘bcrypt’(注:这是专门为密码存储而设计的一种算法)的功能,通过所谓的‘散列’进程来掩蔽密码,这种程序会用存储在推特系统内部的一系列随机数字和字母来替代真实的密码,从而使得我们的系统能在不暴露用户密码的情况下验证账号身份凭证,这是一种行业标准。由于受到一个bug的影响,密码在散列进程完成之前被写入了一个内部日志。我们自己发现了这个错误,并已实施了计划来防止这个bug再次发生。”
微评:我原以为只有CSDN这模样的才会明文存储密码,没想到啊没想到,推特这浓眉大眼的家伙也开始明文存储密码了。
在推特的官方博客里详细介绍了这个BUG,用户修改密码的主要原因是,此前发生的一个故障导致部分用户的账号密码以纯文本的形式出现在了该公司的内部网络上。
推特称,经内部调查发现,并无迹象表明这些密码已被公司内部人员盗取或滥用。尽管如此,推特仍敦促所有用户“出于高度谨慎之目的”而考虑更改密码。
该公司并未透露总共有多少用户的账号密码受到了影响。
外媒报道称,正常情况下,密码等敏感的个人数据应以HASH(散列)的形式进行存储,利用字母和数字的组合来保护密码本身的内容。但推特的故障则导致用户密码以纯文本形式公开存储在公司内部的一个日志上,没有进行任何HASH(散列)处理。
所谓“HASH”(散列),就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
推特在博文里称:“我们近日发现了一个bug,该bug导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。”
该公司指出,目前“并无理由认为这些密码信息离开过推特的系统”,也并无理由认为这些无保护的密码已被黑客获取,但未知的风险仍旧存在。推特建议用户更改密码以作为一种预防措施。
推特对此事件的解释如下:“我们利用一种所谓‘bcrypt’(注:这是专门为密码存储而设计的一种算法)的功能,通过所谓的‘散列’进程来掩蔽密码,这种程序会用存储在推特系统内部的一系列随机数字和字母来替代真实的密码,从而使得我们的系统能在不暴露用户密码的情况下验证账号身份凭证,这是一种行业标准。由于受到一个bug的影响,密码在散列进程完成之前被写入了一个内部日志。我们自己发现了这个错误,并已实施了计划来防止这个bug再次发生。”
微评:我原以为只有CSDN这模样的才会明文存储密码,没想到啊没想到,推特这浓眉大眼的家伙也开始明文存储密码了。
相关文章推荐
- 推特用户密码被明文泄漏
- 直接存储用户密码的明文或者将密码加密存储
- 新浪微博一处反射型XSS(可截获用户登录名及明文密码、可蠕虫、可刷关注)
- 任意用户密码重置(一):重置凭证泄漏
- LeakedSource再爆料:Last.fm网站被黑,4300万用户的个人密码遭泄漏
- 天涯论坛4000万用户密码泄漏
- 在标签的事件属性字符串中编写程序,检查用户输入的密码明文
- 查看并修改Oracle用户的密码【oracle不能查看dba_users里password字段(存储密码的加密过的字符串)对应的密码明文】
- 天道不仁,侠当做仗键而起! 强烈谴责CSDN明文保存用户密码!!!
- 避免明文保存用户密码
- 大量12306用户数据在互联网疯传包括用户帐号、明文密码、...
- 提取windows用户明文密码
- 如何获取全域用户明文密码
- 如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!
- 天涯4000W用户明文密码泄露——知名互联网网站再爆漏洞
- 新浪爱问用户明文密码泄露
- win7下获得用户的明文密码
- 新网某处设计缺陷可任意用户密码重置及手机号密码密文泄漏(大众点评网为例)
- 号称全球最大中文it社区的csdn保存用户密码竟然用明文
- MySQL5.6创建用户密码不再明文显示在binlog二进制日志文件里