Twitter poziva korisnike za trenutnu promenu lozinke zbog Plain Text bug-a
Twitter je upozorio svojih 330 miliona korisnika da odmah menjaju svoje lozinke, kao rezultat greške koja je prouzrokovala lozinka, odnosno da se prijavljuju u Plain Text (čisti tekst) poljima pre nego što budu isčitani. Iako Twitter tvrdi da su lozinke uskladištene koristeći algoritam bcrypt, čini se da su se nenamerno stavljali u unutrašnju bazu pre nego što su ga isčitavali.
“Mi maskiramo lozinke kroz proces koji se zove hashing koristeći funkciju poznatu kao bcrypt, koja zamenjuje stvarnu lozinku sa slučajnim skupom brojeva i slova koja se čuvaju u Twitter sistemu”, navodi se u blogu Tvitter-a.” Zbog greške, lozinke su upisane u unutrašnju bazu pre nego što se završi proces hash-ovanja. Pronašli smo tu grešku, uklonili lozinke i sproveli smo planove kako bismo sprečili da se ova greška ponovo desi. ”
Čini se da ranjivost nije zloupotrebljena od strane sajber kriminala, niti su Twitterovi sistemi ugroženi ili zloupotrebljeni da bi pristupili ovim lozinkama sa Plain Text-om. Međutim, pošto blog ohrabruje sve korisnike Twittera da promene svoje lozinke, veruje se da je broj potencijalno pogođenih naloga značajan, a ranjivost je možda prisutna mesecima pre nego što je otkrivena.
“Zbog opreza”, društvena mreža snažno savetuje korisnike da odmah menjaju svoje lozinke, a takođe omogućavaju dvostruku autentifikaciju za dodatnu sigurnost. Twitter takođe naglašava da je ranjivost adresirana, dok se izvinjava za incident.
“Popravili smo grešku, a naša istraga ne pokazuje nikakve znakove kršenja ili zloupotrebe od strane bilo koga”, stoji u blogu. “Veoma nam je žao što se to dogodilo. Mi prepoznajemo i cenimo poverenje koje ukazujete nama, i posvećujemo se svakodnevnom opravdanju tog poverenja. ”
Twitter je druga kompanija koja je otkrila postojanje grešaka u svojim sistemima za upravljanje lozinkama, a GitHub je najavio sličnu ranjivost pre samo nekoliko dana. Iz svog opisa i upozorenja korisnicima, izgleda da su ova dva preduzeća imala istu vrstu problema sa sigurnošću lozinke.
