Twitter不慎以纯文本形式泄漏用户密码

经过内部审计之后,Twitter近日承认,他们的密码存储机制存在错误,导致内部日志中记录了一些用户的密码。

在Twitter之前,GitHub本周早些时候也发布了类似的声明。

就像在GitHub事件中一样,密码以明文格式记录在Twitter的内部服务器日志中。

明文密码是饱受诟病的安全措施,如今的网站往往会使用哈希加盐等方式存储用户的密码,避免密码泄露后被黑客知晓用户真正的密码。

Twitter表示,它通常通过将密码传递给bcrypt散列函数来加密密码,这也是顶尖的行业标准。

“但是在实际情况中由于存在bug,在完成哈希处理之前密码就被写入内部日志,”Twitter发言人称。 “我们自己发现了这个漏洞,删除了密码,并且正在修复,以防问题再次发生。”

让用户决定是否更改密码

GitHub查出明文密码时,给所有受影响的用户发送了电子邮件并且强制让他们重置密码。

但是Twitter没有发送邮件提醒,有些用户被强制修改密码,小编登陆Twitter发现,的确出现了一个警告窗口。

Twitter并不认为这是非常重大的安全问题,Twitter认为它的系统从未被破坏过,只有少数员工可能看到过泄露的密码。

“我们的调查显示没有任何人滥用了密码,”Twitter说

* 参考来源:BleepingComputer,本文作者Sphinx,转载注明来自FreeBuf

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算教程系列

在Ubuntu或Debian上更新并保护Drupal 8

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CM...

1051
来自专栏nice_每一天

解决电脑系统卡、慢 3分钟成为高手!

简介:大家在平常使用电脑的过程中,随着时间的推移,电脑Windows系统会变得越来越卡,越来越慢!很多人都会选用电脑自带的系统安全软件来优化Windows系统,...

1263
来自专栏信安之路

【作者投稿】Slowhttptest攻击原理

Slowhttptest其实是一个DoS压力测试工具,它集成有三种慢速攻击模式(slowloris、slow http post、slow read attac...

1750
来自专栏北京马哥教育

用Python尝试破解wifi无线密码

? ? 作者|面包君 上点python有意思的代码。 环境准备 python2.7 pywifi模块 字典 清除系统中的任何wifi连接记录 导入模块 这里用...

4657
来自专栏前端黑板报

HTTP2基础教程-读书笔记(三)

前面两篇记录了HTTP的历史和网络请求、页面渲染的过程以及HTTP/1的一些问题,本篇就来讲一下迁移HTTP/2需要考虑的一些问题。 迁移HTTP/2说简单无非...

3509
来自专栏网站漏洞修补

网站快照被劫持 标题描述被篡改成博彩内容的解决方法

三年前用dedecms织梦系统,帮公司设计了一个网站,平常的网站更新,以及优化也都是我在负责,前段时间发现网站的流量越来越少,用爱站站长工具查看了一下,竟然发现...

2235
来自专栏FreeBuf

运维安全 | 等保视角下的SSH加固之旅

前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH Server的加固。正好最近有空,笔者将加固过程的一些经验,总结分享...

2473
来自专栏北京马哥教育

预防高逼格Linux黑客招数,不学你就后悔吧!

本文由马哥教育Linux云计算面授班24期学员推荐,转载自互联网,作者为And,内容略经小编改编和加工,观点跟作者无关,最后感谢作者的辛苦贡献与付出。 很多人都...

2957
来自专栏私有云搭建

可道云私有云kodexplorer在蒲公英应用中心使用教程

蒲公英X5-3353在固件ROM2.22.1在云管理页面的【应用中心】中新嵌入了KOD功能,它是基于Web的在线文档管理器,下面看看如何使用KOD功能:

4273
来自专栏kl的专栏

分布式链路追踪&应用监控APM软件-skywalking

当企业应用进入分布式微服务时代,应用服务依赖会越来越多,skywalking可以很好的解决服务调用链路追踪的问题,而且基于java探针技术,基本对应用零侵入零耦...

7887

扫码关注云+社区