快變更密碼!推特發現內部加密功能有漏洞,可能讓3.3億用戶密碼曝光
推特(Twitter)近日發現一個加密系統的漏洞導致3.3億用戶密碼被以明碼儲存,周四呼籲儘速更新密碼。
推特是利用bcrypt演算法,對用戶密碼進行雜湊處理,這種加密方式可將真實密碼以隨機的字母與數字取代儲存在推特的系統中。藉此系統可以在不顯示密碼情況下進行用戶身份驗證,也是產業標準作法。
但近日推特發現系統出現一項漏洞,使所有用戶密碼在完成雜湊加密前就寫入內部紀綠系統中,意謂著這些密碼都是以明碼儲存。
該漏洞是推特自行發現,且已修復漏洞、移除密碼及防止漏洞再出現。該公司表示根據調查,沒有漏洞被開採或誤用的情形。但是推特仍然對所有用戶發出立即變更密碼的通知。
本周稍早GitHub也發現加密系統漏洞導致密碼被明碼儲存,而通知用戶變更密碼。GitHub強調這批密碼沒有被對外及大部份員工公開,而且GitHub也沒有遭駭或入侵。
根據市場研究公司Statista的估計,截至去年第4季,推特每月經常用戶達3.3億。
知名網站密碼外洩往往後果十分嚴重。在2016年LinkedIn、MySpace等用戶帳號曾外洩被兜售於網路上,配合用戶多個網站密碼重複使用,致使後來許多其他服務相繼傳出用戶帳號被駭,包括臉書執行長祖克柏(Mark Zuckerberg)。
故障導致密碼曝光 推特籲用戶變更保安全
社群網站推特公司今天呼籲超過3億3000萬用戶,變更他們的密碼,原因是故障導致部分用戶密碼以明碼貯存在內部電腦系統,經查雖無外洩情事,但最好更改密碼以防萬一。
推特(Twitter Inc)表示,這項故障已經修復,內部調查發現並無跡象顯示用戶密碼遭內部人員偷竊或濫用,但「為了以防萬一」,仍呼籲所有用戶考慮變更密碼。
路透社報導,推特未說明有多少用戶的密碼受到影響,但據了解公司情況的人士透露,數量「龐大」,而且曝露「數月」之久。
這位人士表示,推特幾週前才發現這個錯誤,並向主管機關提出報告。
推特爆漏洞,用戶密碼全曝光,如何變更密碼自保看這邊!
社群網站推特(Twitter)今天爆出嚴重資安危機,官方表示由於一個長期存在的系統漏洞,導致用戶的密碼可能用非加密的明文方式,被儲存於推特的內部電腦中;雖然推特聲稱沒有發現有任何用戶的密碼因此外流,但仍呼籲全球3.3億用戶進行密碼變更以策安全。
內部系統出問題 密碼全明文儲存
根據推特於官方部落的聲明指出,在正常情況下,用戶輸入密碼登入推特時,都會在傳輸過程中利用bcrypt雜湊加密後的密文,取代掉用戶真正的密碼;接著網頁會將隨機字元組成的加密密碼傳送到推特內部系統,進行用戶的登入驗證。
只不過,由於推特官方最近發現了一個嚴重漏洞,導致用戶的密碼在獲得加密前,就被傳送到推特的內部伺服器進行用戶驗證,這代表推特的使用者密碼遭明文儲存於內部伺服器中,由於若駭客有心入侵推特的內部系統,這些未加密的密碼若流出將形成重大資訊安全問題。
推特表示他們發現這個漏洞之後,立即刪除了儲存於內部伺服器中的明文密碼,並完成了該漏洞的修補。推特也指出,經過公司內部調查,這些被明文儲存的密碼並沒有遭到外流或濫用的跡象,但由於漏洞已存在數個月之久,受影響的用戶數龐大到難以估計,所以決定發出通知要求全球3.3億使用者變更密碼。
如何變更推特帳戶密碼
既然推特聲稱沒有任何用戶的密碼遭到外流,但為了保險起見,建議用戶最好還是變更密碼以策安全。以下就用網頁版推特為例,教導讀者如何變更推特的帳戶密碼。
設定兩步驟驗證加強帳號安全
在變更完畢密碼後,建議讀者再設定兩步驟驗證,利用手機收取登入簡訊加強帳號保安,降低帳號遭駭機會。
