标签：以纯 GitHub Twitter 不慎 用户 明文 密码

Twitter不慎以纯文本形式泄漏用户密码 https://mp.weixin.qq.com/s/HZUx1cSj8cFIZnskyeAf3w

Twitter不慎以纯文本形式泄漏用户密码

Sphinx FreeBuf 2018-05-05 17:52

经过内部审计之后，Twitter近日承认，他们的密码存储机制存在错误，导致内部日志中记录了一些用户的密码。

在Twitter之前，GitHub本周早些时候也发布了类似的声明。

就像在GitHub事件中一样，密码以明文格式记录在Twitter的内部服务器日志中。

明文密码是饱受诟病的安全措施，如今的网站往往会使用哈希加盐等方式存储用户的密码，避免密码泄露后被黑客知晓用户真正的密码。

Twitter表示，它通常通过将密码传递给bcrypt散列函数来加密密码，这也是顶尖的行业标准。

“但是在实际情况中由于存在bug，在完成哈希处理之前密码就被写入内部日志，”Twitter发言人称。 “我们自己发现了这个漏洞，删除了密码，并且正在修复，以防问题再次发生。”

让用户决定是否更改密码

GitHub查出明文密码时，给所有受影响的用户发送了电子邮件并且强制让他们重置密码。

但是Twitter没有发送邮件提醒，有些用户被强制修改密码，小编登陆Twitter发现，的确出现了一个警告窗口。

Twitter并不认为这是非常重大的安全问题，Twitter认为它的系统从未被破坏过，只有少数员工可能看到过泄露的密码。

“我们的调查显示没有任何人滥用了密码，”Twitter说。

* 参考来源：BleepingComputer，本文作者Sphinx，转载注明来自FreeBuf

 

标签：以纯,GitHub,Twitter,不慎,用户,明文,密码
来源： https://www.cnblogs.com/rsapaper/p/16387147.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。