推特承认在内部日志中记录某些用户的明文密码

Catalin Cimpanu 代码卫士 2022-06-21

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

经过内部审计后，推特表示由于密码存储机制中存在一个 bug，导致公司在内部日志中不慎记录了某些用户的密码。这是继 GitHub 这周宣布类似事故后的第二起案例。

和 GitHub 事故类似，推特内部服务器日志中记录的用户密码是明文形式。

Bug 将明文密码写入日志文件

推特表示，在正常情况下会通过 bcrypt 哈希函数加密密码，而这种做法是顶级技术企业的通用行业标准。

推特的一名发言人指出，由于存在 bug，密码在完成哈希过程前被写入一个内部日志中。并表示是公司内部发现了这个问题，因此将密码删除并正在制定防止这个 bug 再次发生的计划。

推特尚未回应受影响人数有多少。

推特将更改密码的决定留给用户

GitHub 向所有受影响用户发邮件说明并强制所有受影响用户重置密码。而推特尚未收到任何类似邮件，不过一些用户被强制选择一个新密码。推特也在网站上发布了一份安全公告。

推特认为这并非大的安全问题，指出系统未遭入侵而且仅有少数几名员工可能看到了被暴露的密码。

关联阅读
GitHub 内部日志不慎记录某些用户的明文密码

原文链接

https://www.bleepingcomputer.com/news/security/twitter-admits-recording-plaintext-passwords-in-internal-logs-just-like-github/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。