Twitter odkrył w swoim systemie błąd, który mógł zostać użyty do wykradnięcia danych uwierzytelniających logowanie użytkowników. Część haseł była zapisywana we wewnętrznych logach w sposób jawny, bez wcześniejszego haszowania. Błąd został już naprawiony. Jednak Twitter zaleca swoim użytkownikom zmianę aktualnie używanych haseł.

Czy zastanawialiście się kiedyś, w jaki sposób serwisy internetowe przetrzymują Wasze hasła? Zazwyczaj odbywa się to w formie haszy. Oznacza to, że hasło przetwarzane jest przez jednostronną funkcję maskującą, która hasło użytkownika zamienia na z pozoru losowy ciąg znaków i cyfr. Cała sztuka polega na tym, że dla tej operacji nie istnieje funkcja odwrotna, czyli na podstawie zamaskowanego hasła nie można uzyskać jego pierwotnej postaci. Każda próba logowania polega na przeprowadzeniu analogicznej operacji na haśle wprowadzanym przez użytkownika, a system autoryzujący porównuje obie zamaskowane formy. Rozwiązania tego typu są powszechnie uważane za bezpieczne. Dlatego nie ma nic złego w tym, że Twitter zapisuje hasła w zaszyfrowanej postaci. Jednak odkryty błąd polegał na tym, że część haseł było zapisywanych bez wcześniejszego maskowana, czyli w formie jawnej.

Twitter nie odnotował żadnej próby wykorzystania odkrytej luki

Serwis przeprowadził wewnętrzne śledztwo, które wykazało, że odkryta luka nie została przez nikogo użyta. Oznacza to, że hasła użytkowników powinny być bezpieczne. Jednak Twitter woli dmuchać na zimne. Dlatego też użytkownikom zalecana jest zmiana używanego hasła. Można to zrobić zarówno z poziomu aplikacji mobilnej, jak i strony internetowej. Osoby, którym zależy na bezpieczeństwie, powinny rozważyć skorzystanie z funkcji uwierzytelniania dwuskładnikowego. Mechanizm ten poinformuje Was o każdej próbie zalogowania na Wasze konto. Zatem, jeżeli ktoś wykradnie Wam hasło, to zostaniecie poinformowani o próbie jego użycia. W gorszej sytuacji są te osoby, które używają tego samego hasła i adresu e-mail na wielu serwisach. Przestępcy już nauczyli się korzystać z ludzkiego lenistwa i używają wykradzione dane do “włamań” na inne strony.

W zaistniałej sytuacji najbardziej cieszy zachowanie właścicieli serwisu. Błąd został odkryty przez pracowników Twittera i informacja o jego istnieniu mogła nigdy nie dotrzeć do użytkowników. Jednak serwis postanowił być w 100% transparentny w swoich działaniach i poinformował opinię publiczną o potencjalnym niebezpieczeństwie.

Źródło: Twitter

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.