Twitter advarer: Skift jeres kodeord, vi har set dem

Illustration: © Twitter
I dag udstedte Twitter en advarsel til alle deres brugere: En log-fil har opbevaret kodeord i klartekst og har været tilgængelig for ansatte i Twitter.

Har du ligesom 330 millioner andre en konto på det sociale medie Twitter, så bør du skifte passwordet med det samme.

I dag udstedte Twitter en advarsel til alle deres brugere: En log-fil har opbevaret kodeord i klartekst og har været tilgængelig for ansatte i Twitter.

Det skriver Twitter i en blog.

Twitter har ikke fortalt, hvor mange brugere der er tale om, men en kilde oplyser til Reuters, at det er en substantiel mængde, og at fejlen har stået på i flere måneder.

»Vi maskerer passwords gennem en proces kaldet hashing ved at bruge en funktion kendt som bcrypt, som erstatter det faktiske password med et tilfældigt sæt af numre og bogstaver, der er opbevaret i Twitters system. Det tillader vores systemer at validere dine kontooplysninger uden at afsløre dit password. Det er industristandard. På grund af en bug er passwords blevet skrevet til en intern log, før hashingprocessen blev færdiggjort. Vi har selv fundet fejlen, fjernet passwords og implementerer planer for at undgå, at denne bug gentager sig,« skriver Twitter i en blog.

Illustration: Twitter/Screendump

Parag Agrawal, som er Twitters CTO, har tidligere skrevet, at Twitter bruger en bcrypt-hashfunktion til at beskytte kodeordene. Dette er en ret normal løsning.

»Det tillader vores systemer at validere dine brugeroplysninger uden at afsløre dit kodeord,« skriver han.

Læs også: Netsundhedsplejerske.dk: Datalæk afslører e-mailadresser og passwords i klartekst

I dette tilfælde har en fejl forårsaget, at der er blevet oprettet en logfil, som har opbevaret kodeordene, før de blev hashet.

GitHub fejl

Hændelsen blev opdaget, efter at en tilsvarende logfil blev opdaget i GitHub - også her havde en intern logfil gemt kodeord, før de blev hashet.

Heller ikke i GitHubs tilfælde er der blevet fundet tegn på misbrug eller lækage, men da muligheden foreligger, anbefales også GitHubs brugere at skifte kodeord.

Læs også: CBB Mobil: Send de første tre tegn af dit kodeord

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017