查看原文
其他

推特承认在内部日志中记录某些用户的明文密码

Catalin Cimpanu 代码卫士 2022-06-21

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队


经过内部审计后,推特表示由于密码存储机制中存在一个 bug,导致公司在内部日志中不慎记录了某些用户的密码。这是继 GitHub 这周宣布类似事故后的第二起案例。

和 GitHub 事故类似,推特内部服务器日志中记录的用户密码是明文形式。

Bug 将明文密码写入日志文件

推特表示,在正常情况下会通过 bcrypt 哈希函数加密密码,而这种做法是顶级技术企业的通用行业标准。

推特的一名发言人指出,由于存在 bug,密码在完成哈希过程前被写入一个内部日志中。并表示是公司内部发现了这个问题,因此将密码删除并正在制定防止这个 bug 再次发生的计划。

推特尚未回应受影响人数有多少。

推特将更改密码的决定留给用户

GitHub 向所有受影响用户发邮件说明并强制所有受影响用户重置密码。而推特尚未收到任何类似邮件,不过一些用户被强制选择一个新密码。推特也在网站上发布了一份安全公告。

推特认为这并非大的安全问题,指出系统未遭入侵而且仅有少数几名员工可能看到了被暴露的密码。



关联阅读

GitHub 内部日志不慎记录某些用户的明文密码


原文链接

https://www.bleepingcomputer.com/news/security/twitter-admits-recording-plaintext-passwords-in-internal-logs-just-like-github/


本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存