推特继续发布公告:密码安全事故影响到3.3亿用户
日前,推特官方发布最新公告成,建议所有用户将与推特相同密码的帐号进行密码修改,这么做是担心用户密码泄漏被撞库。
一、推特出现BUG或导致密码暴露事件回顾
实际上,昨天笔者已经分析过推特公司存储用户密码的技术BUG,由于公司后端服务器配置错误,导致用户的密码被以明文的方式存储到了日志中。
而实际上,造成此次安全事故的原因是漏洞出现导致本应以哈希值加密后存储的用户密码,却在尚未完成加密之前就被错误的以明文的方式存储到了公司服务器的内部日志中。
同时笔者昨天也分析了这一问题的严重性,由于日志文件需要一定权限的内部人员才能看到,因此被外泄的可能性并不大。
而推特官方也表示这一内部日志确实只有公司的工程师才能够接触到,但这同时也意味着密码可能会被具有权限的工程师们泄漏出去。
尽管目前并没有任何证据表明推特的工程师有过下载这批日志文件和泄漏日志的痕迹,但出于安全方面的考虑,推特方面还是连续发出多条公告建议用户修改密码。
二、推特连续发出公告建议用户修改密码
目前,推特官方声明一再强调这批日志文件只有内部工程师才能接触到,尽管如此,推特还是联系发布公告建议用户修改密码,据悉,最新公告是通过电子邮件发送到用户注册邮箱中的。
在这份邮件中,推特就爱你一所有用户,最好是能够将与推特相同密码的帐号进行密码修改,这么做的原因就是担心这批明文日志一旦被泄漏出去,不法分子会通过邮件和密码撞库登录到其他网站中。
目前,推特安全团队已经展开了相关的安全审计工作,来排查潜在额安全威胁,但是否真的存在日志文件被泄漏的情况还需要等待官方审计结果。
对于事件的严重性笔者昨天已经做过详细的介绍,当然,出于安全方面的考量,这里笔者还是建议注册过推特的用户可以修改一下自己的密码,尤其是哪些登录邮箱和密码和推特都保持一致的用户。