Twitter、ハッシュ化前パスワードをログ保存 - 漏洩痕跡ないが変更検討求める

Twitterは、ユーザーによるパスワードの設定処理においてバグが存在し、内部ログにパスワードが平文のまま保存されていたことを明らかにした。

通常、ユーザーが設定したパスワードは保存前にハッシュ化を行うため、内部においても平文のパスワードを確認することはできないが、ハッシュ化の処理を行う前にログへ保存されていたことが判明したという。

同社は今回の不具合を修正するとともに、平文のパスワードを削除すると説明。内部調査においてパスワードが外部へ漏洩したり、不正に利用された痕跡は見つかっていないとしているが、今回の問題について謝罪し、パスワードの変更を検討するようアナウンス。複数サービスにおける使い回しを避け、2要素認証の活用など、対策を呼びかけている。

（Security NEXT - 2018/05/04 ） ツイート

PR

関連記事

PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応
複数関連サイトで改ざん被害、一時外部に誘導 - 都教組
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
Veeamバックアップ製品に深刻な脆弱性 - 推奨環境ではリスク低減
システムにサイバー攻撃、患者情報など流出のおそれ - 徳島大病院
サイバー攻撃でシステム不正操作の可能性、影響範囲を調査 - ケイ・ウノ
SUSE「Harvester」インストーラに脆弱性 - 初期PWでSSH接続可能