Twitter advarer: Skift jeres kodeord, vi har set dem

Illustration: © Twitter
I dag udstedte Twitter en advarsel til alle deres brugere: En log-fil har opbevaret kodeord i klartekst og har været tilgængelig for ansatte i Twitter.

Har du ligesom 330 millioner andre en konto på det sociale medie Twitter, så bør du skifte passwordet med det samme.

I dag udstedte Twitter en advarsel til alle deres brugere: En log-fil har opbevaret kodeord i klartekst og har været tilgængelig for ansatte i Twitter.

Det skriver Twitter i en blog.

Twitter har ikke fortalt, hvor mange brugere der er tale om, men en kilde oplyser til Reuters, at det er en substantiel mængde, og at fejlen har stået på i flere måneder.

»Vi maskerer passwords gennem en proces kaldet hashing ved at bruge en funktion kendt som bcrypt, som erstatter det faktiske password med et tilfældigt sæt af numre og bogstaver, der er opbevaret i Twitters system. Det tillader vores systemer at validere dine kontooplysninger uden at afsløre dit password. Det er industristandard. På grund af en bug er passwords blevet skrevet til en intern log, før hashingprocessen blev færdiggjort. Vi har selv fundet fejlen, fjernet passwords og implementerer planer for at undgå, at denne bug gentager sig,« skriver Twitter i en blog.

Illustration: Twitter/Screendump

Parag Agrawal, som er Twitters CTO, har tidligere skrevet, at Twitter bruger en bcrypt-hashfunktion til at beskytte kodeordene. Dette er en ret normal løsning.

»Det tillader vores systemer at validere dine brugeroplysninger uden at afsløre dit kodeord,« skriver han.

Læs også: Netsundhedsplejerske.dk: Datalæk afslører e-mailadresser og passwords i klartekst

I dette tilfælde har en fejl forårsaget, at der er blevet oprettet en logfil, som har opbevaret kodeordene, før de blev hashet.

GitHub fejl

Hændelsen blev opdaget, efter at en tilsvarende logfil blev opdaget i GitHub - også her havde en intern logfil gemt kodeord, før de blev hashet.

Heller ikke i GitHubs tilfælde er der blevet fundet tegn på misbrug eller lækage, men da muligheden foreligger, anbefales også GitHubs brugere at skifte kodeord.

Læs også: CBB Mobil: Send de første tre tegn af dit kodeord

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize