Twitter je videl tvoje geslo, zato ga spremeni

Običajno o pobeglih geslih izvemo, ko ponudnik zgroženo ugotovi, da so mu krekerji vdrli v sistem, in potem razmišlja, kako hitro in na kakšen način naj to sporoči javnosti. Twitter pa je našel hrošča v svoji programski opremi, zaradi česar so se gesla interno zapisovala nešifrirano. Ker ne vemo, ali jih je prestregel še kdo, je najbolje geslo čim prej spremeniti, pišejo na Tehnozvezdje.

Twitter za shranjevanje gesel uporablja šifrirni algoritem, ki ga je razvil Bruce Schneier. S funkcijo bcrypt namesto pravih znakov zapiše navidez naključen niz številk in črk, nekakšno matematično reprezentacijo. Tako naj prave kombinacije črk, številk in ostalih znakov nikoli nihče ne bi videl. Vendar pa so se zaradi hrošča gesla zapisovala šele preden se je ta postopek šifriranja zaključil. »Napako smo odkrili sami, zbrisali gesla in delamo na tem, da se napaka ne bi več ponovila,« so zapisali v Twitterju.

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ

— Twitter Support (@TwitterSupport) May 3, 2018