Популярная соцсеть Twitter разослала всем своим пользователям (более чем 330 млн) письма с рекомендациями о необходимости смены пароля учетной записи. Эта необходимость – мера предосторожности, обусловленная недавно обнаруженной разработчиками внутренней уязвимостью. Говоря точнее, из-за программной ошибки пароли хранились во внутреннем журнале сервиса в открытом незашифрованном виде.
В Twitter успокаивают, что ошибка, о которой стало известно еще несколько недель назад, к настоящему моменту устранена. Кроме того, проведенное компанией расследование не выявило никаких признаков нарушения безопасности или неправомерного использования этих данных. Иными словами, ни одного случая успешной эксплуатации уязвимости неизвестно, пока.
«Для маскирования паролей мы используем хэширование методом bcrypt, который заменяет настоящий пароль на случайный набор букв и цифр, хранящихся в системе Twitter. Из-за программной ошибки пароли записывались во внутренний журнал до завершения процесса хэширования. Мы самостоятельно нашли эту ошибку, убрали пароли из журнала и принимаем меры, чтобы эта ошибка не повторилась», – говорится в сообщении компании.
Но для перестраховки Twitter все же посоветовала пользователям сменить пароль, в том числе и на других сервисах, если использовался один пароль. Также руководство соцсети рекомендует включить двухфакторную аутентификацию (если она еще не включена) для повышения безопасности и установить диспетчер паролей, что позволит использовать надежные уникальные пароли на разных ресурсах.
В Twitter не уточнили, как долго эта уязвимость оставалась открытой, а источник Reuters рассказал, что пароли оставались незащищенными в течение нескольких месяцев. То есть, потенциально угроза есть и лучше все же сменить пароль.