Twitter发出声明,表示该公司内部的系统出现了漏洞,导致账号密码在未加密的情况下储存于伺服器当中,引发严重的资安问题。
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) May 3, 2018
在一般的情况下,账户的密码并不会直接储存在网站的伺服器当中,而是经过加密机制将密码转成随机的字元,在登入时推送到内部系统,进行验证。Twitter近期发现,密码在加密前,内部系统将密码记录下来储存在伺服器,若是骇客入侵Twitter的系统,这些资料若流出恐将造成另一次灾难。
Twitter表示在发现漏洞之后,立即从伺服器中删除了这些未加密的密码,该漏洞也已经修复完毕。该公司表示,经过调查,目前并未发现密码外泄或滥用的迹象,但基于安全的角度,Twitter仍然建议用户更换密码。Twitter并未透露有多少用户受到此事件影响。
Twitter用户能前往设置页面更换密码 (https://www.twitter.com/settings/password/),同时建议启用两步验证,利用手机收取登入简讯,加强账号安全。
