推特建議所有使用者修改密碼:故障導致使用者密碼在公司內部曝光

CCkicker發表於2018-05-04


騰訊證券訊 據外媒報導,美國社交媒體公司推特(Twitter, NASDAQ:TWTR)週三告知其數億使用者需修改密碼,原因是此前發生的一個故障導致部分使用者的賬號密碼以純文字的形式出現在了該公司的內部網路上。


推特稱,經內部調查發現,並無跡象表明這些密碼已被公司內部人員盜取或濫用。儘管如此,推特仍敦促所有使用者“出於高度謹慎之目的”而考慮更改密碼。


該公司並未透露總共有多少使用者的賬號密碼受到了影響。


外媒報導稱,正常情況下,密碼等敏感的個人資料應以雜湊的形式進行儲存,利用字母和數字的組合來保護密碼本身的內容。但推特的故障則導致使用者密碼以純文字形式公開儲存在公司內部的一個日誌上,沒有進行任何雜湊處理。


所謂“雜湊”(hash),就是把任意長度的輸入(又叫做預對映, pre-image),透過雜湊演算法,變換成固定長度的輸出,該輸出就是雜湊值。這種轉換是一種壓縮對映,也就是,雜湊值的空間通常遠小於輸入的空間,不同的輸入可能會雜湊成相同的輸出,所以不可能從雜湊值來確定唯一的輸入值。簡單的說就是一種將任意長度的訊息壓縮到某一固定長度的訊息摘要的函式。


推特在週四釋出推文稱:“我們近日發現了一個bug,該bug導致密碼無遮掩地被儲存在一個內部日誌上。我們已經修復了這個bug,沒有跡象表明密碼被任何人盜取或濫用。作為預防措施,使用者應考慮在所有使用過同一密碼的服務上更改密碼。”


該公司指出,目前“並無理由認為這些密碼資訊離開過推特的系統”,也並無理由認為這些無保護的密碼已被駭客獲取,但未知的風險仍舊存在。推特建議使用者更改密碼以作為一種預防措施。


推特對此事件的解釋如下:“我們利用一種所謂‘bcrypt’(注:這是專門為密碼儲存而設計的一種演算法)的功能,透過所謂的‘雜湊’程式來掩蔽密碼,這種程式會用儲存在推特系統內部的一系列隨機數字和字母來替代真實的密碼,從而使得我們的系統能在不暴露使用者密碼的情況下驗證賬號身份憑證,這是一種行業標準。由於受到一個bug的影響,密碼在雜湊程式完成之前被寫入了一個內部日誌。我們自己發現了這個錯誤,並已實施了計劃來防止這個bug再次發生。”


訊息傳出後,推特盤後股價一度下挫逾2%。


以下是推特官方賬號釋出的內容:


推特建議所有使用者修改密碼:故障導致使用者密碼在公司內部曝光




來源:騰訊證券



相關文章