ソーシャル・ネットワーキング・サービス、Twitterでちょっと気になるセキュリティー関連のバグが発見されたようです。
ツイッター公式サポートからの投稿で判明したもの。
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) May 3, 2018
どういったバグかという点についてはちょっと技術的なので私も完全には理解していませんが、分かる範囲で説明すると:
まず、Twitterではユーザーがパスワードの設定をする際にBCryptという技術でそのパスワードをランダムな文字に置換。
このプロセスはハッシュ化と呼ばれており、これにより、ユーザーはツイッター側に大元のパスワードを知られずに済む、という仕組のようで、同社に限らず業界のスタンダードとして浸透しているそうです。
ただ、今回発見されたバグでは何らかの理由でハッシュ化される前のユーザーが設定した元のパスワードがTwitter側の内部ログに残ってしまう、というもの。
現在はこのパスワードはすべて削除され、バグも修正済とのことですが、念の為、ユーザーにはパスワードの変更を推奨しているようです。
コメント