Την αλλαγή password συστήνει το Twitter, εξαιτίας bug

[nnn]

Σύσταση προς τους χρήστες του να αλλάξουν το password τους, κάνει το Twitter, επειδή εξαιτίας ενός bug κάποιοι κωδικοί αποθηκεύτηκαν σε εσωτερικό log file χωρίς κρυπτογράφηση.

Δεν υπάρχουν ενδείξεις παραβίασης ή κακόβουλης χρήσης και το bug έχει ήδη επιδιορθωθεί.

About The Bug

We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.

Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Αναλυτικά : Twitter blog

[eyw]

bug ή "bug"?
Οταν στραβώνει κάτι θα λέμε bug. To err is human κλπ.

[dchatz]

"κάποιοι" κωδικοί

Χαχα, δλδ υπήρχε κάποιος αλγόριθμος που επέλεγε κάπως "κάποιους" κωδικούς να τους βάλει χύμα σε ένα log file ενώ "κάποιους" άλλους τους αποθήκευε κρυπτογραφημένους με βαρβατη ασφάλεια ...
Ας ψάξουν το log file και ας στείλουν μήνυμα μόνο σε αυτούς τους "κάποιους" ώστε να μη παιδεύονται όλοι ...

[minas]

Χαχα, δλδ υπήρχε κάποιος αλγόριθμος που επέλεγε κάπως "κάποιους" κωδικούς να τους βάλει χύμα σε ένα log file ενώ "κάποιους" άλλους τους αποθήκευε κρυπτογραφημένους με βαρβατη ασφάλεια ...
Ας ψάξουν το log file και ας στείλουν μήνυμα μόνο σε αυτούς τους "κάποιους" ώστε να μη παιδεύονται όλοι ...

Δεν μιλάει για το σημείο αποθήκευσης των κωδικών, νομίζω απλά κατέγραφε τον κωδικό μαζί με τη κανονικό μήνυμα που ήταν να λογκάρει, πχ
User "user" entered password "password", calculating hash.

Δεν είναι παράλογο να υπάρχουν τέτοια βήματα σε περιπτώσεις debugging, αλλά σε κανονικές συνθήκες είναι ερασιτεχνικό σφάλμα...

[deniSun]

Δεν θα ήταν πιο λογικό να στείλουν email μόνο σε αυτούς που έχουν πρόβλημα;
Συνήθως τέτοιες τεχνικές παραπέμπουν σε άλλα πράγματα.

[konenas]

bug που έδινε πρόσβαση σε συνθηματικά και ανακαλύφθηκε λίγες μέρες πριν την 28/5 είναι "bug"

[eyw]

τι είναι 28/5? σε 3+ βδομάδες.

[konenas]

τι είναι 28/5? σε 3+ βδομάδες.

Αλλαγή των κανονισμών για τα προσωπικά δεδομένα

[eyw]

aw!
δεν το ήξερα, ευχαριστώ.
ως τις 28 "ό,τι φάμε, ό,τι πιούμε και ό,τι αρπάξει το log file μας".

[dsluser1]

βασικά αυτό πρέπει να ηταν σε επίπεδο server, δεν μπορούσε να το διαβάσει ο οποιοσδήποτε παρα μονον όσοι είχαν πρόσβαση στον server.
Όπως και να'χει, τρυπα ήταν.

[Φιλόσοφος_Στ@ρχίδας]

Δεν έχει σχέση το εν λόγω περιστατικό με το GDPR. Αν ήταν αυτός ο λόγος, θα μπορούσε κάλλιστα η Twitter να κάνει μούχτι το θέμα και να σβήσει όλα τα logs, αυτή η ανακοίνωση είναι standard πρακτική.
Όσο για το κατά πόσο ήταν bug ή όχι, η ερώτηση είναι και πάλι "γιατί το ανακοίνωσαν και δεν το κουκούλωσαν";
Φαντάζομαι πως όλοι έχετε κάνει πλήρες auditing των services που υποστηρίζετε;