推特出现BUG:3.3亿用户可能需要修改自己的密码

美国当地时间周四时，推特方面称发现了一个存储用户密码的漏洞，可能导致用户密码以纯文本形式暴露，因此建议用户立即修改密码。

一、推特出现BUG或导致用户密码暴露

推特的首席技术官官帕拉格·阿格拉瓦尔表示，推特所存储的用户密码都是经过加密的，所以即便这些被加密后的密码被用户看到，也只会是一串随机的数字和字母。

然而，最近推特官方却发现存储用户密码的技术出现了一个BUG，在密码记录日志中被记录的密码并不是以哈希值的形式进行加密存储的。

据阿格拉瓦尔介绍，推特公司使用的是bcrypt的函数，以散列来掩盖密码，也就是说推特在系统中是以随机的数字和字母进行存储来代替用户的真实明文密码的。

而BUG的出现，让用户的真实明文密码尚未进行散列过程之前，也就是尚未被加密之前就被先写入到了内部日志中，尽管这些日志并未被泄漏出来。

阿格拉瓦尔表示，推特公司已经成功将这一BUG进行了修复，而且用户的密码被泄漏出去或被任何人滥用的风险并不存在，但为了安全起见还是建议用户修改自己的密码并开启两步验证。

二、笔者的了解和思考

我们知道，推特目前有3.3亿的月活跃用户，因此推特的这一BUG的存在可能直接导致这些用户的密码暴露出来，因此不管是推特方面还是安全分析人员都建议用户修改自己的密码。

而实际上，根据笔者的经验来看一般日志都是保存在服务器中的，能够看到日志的人只有服务器提供商和服务器使用者，当然，也存在被攻击者看到的可能。

而对于推特来说，肯定不会使用第三方服务提供商的服务而会选择自建服务器，同时也能排除攻击者看到日志的可能性，所以，能看到日志的只能是推特官方的技术人员或者是运维。

而对于大公司来说，不管是技术人员来是运维都是有权限划分的，所以，能够看到这些日志的也只有那么几个人，而且看到的不一定就是密码和用户名完全对应的数据，所以，按照笔者的理解其实真的不用担心密码被泄漏的可能。

不过话说回来，如果不放心的话倒是可以修改一下密码，而且最好是能够开启两步验证，毕竟防患于未然的意识还是必须有的！