美国当地时间周四,Twitter 称其发现了在存储用户密码的一个漏洞,可能会导致用户的密码以纯文本的形式暴露,这意味着可能有3.3亿的Twitter月活跃用户的密码存在着被泄露的风险,因此建议用户立即更改密码。
Twitter首席技术官帕拉格·阿格拉瓦尔(Parag Agrawal)表示,Twitter存储的用户密码都是加密过的,即外部看到的密码只是一串随机的数字和字母。然而,最近Twitter发现在密码日志文件中记录的密码并未以哈希值形式加密存储。
关于这个bug,Agrawal解释道,Twitter使用了bcrypt的函数,以散列来掩盖密码。也就是说,Twitter用存储在系统当中的随机数字以及字母来替换实际密码。但是这个bug的出现导致了密码散列过程完成之前,就先被写入了内部日志。
他还表示公司已修补该漏洞,并不认为“用户密码有被泄露出去或被任何人滥用”的风险,不过仍然建议用户修改自己Twitter账号的密码,并开启两步验证。
网友评论