Twitter官方技術總監Parag Agrawal向3.36億個用戶致歉,並表示最近Twitter出現了一個內部錯誤,以致以明文儲存了用戶的密碼,而不是非雜湊函數的安全式密碼。在事後的調查中,Twitter並沒有發現有密碼外洩的跡象,但也建議用戶更改密碼,並使用兩步驟驗證的方式去加強帳戶的安全。
就Twitter的解釋,表示這次錯誤發生在雜湊函數上,本來用戶的密碼是使用雜湊算式,將明文密碼隨機轉換成一堆無意義的數據,就算是內部人員也無法單看輸出值,去猜測用戶輸入的內容。而當用戶登入時,密碼會經湊函數轉換,使系統比對完才確認密碼是否正確,以便減少密碼外洩的危機。
然而,Twitter是次錯誤,是密碼未經雜湊函數轉換前,系統內部便錯誤的把密碼以明文的方式記下。到Twitter內部發現這錯誤時,已有幾週的用戶密碼被系統記錄。出於謹慎的考慮,雖然現階段未發現有內部人員盜用用戶的密碼,但Twitter仍然強烈建議用戶更改密碼。
來源:twitter