“近期我們發(fā)現(xiàn)了一個(gè)在內(nèi)部日志中保存用戶密碼的程序漏洞。我們已修復(fù)了該漏洞，尚未發(fā)現(xiàn)該漏洞被任何人外泄或?yàn)E用的跡象。但作為預(yù)防措施，請(qǐng)考慮更改您使用現(xiàn)有賬戶密碼的所有服務(wù)器密碼。”

　　“推特”自曝安全漏洞，建議3.36億用戶修改賬號(hào)密碼。資料圖當(dāng)?shù)貢r(shí)間5月3日晚，社交網(wǎng)站“推特”在其官方賬號(hào)中發(fā)布了上述信息，敦促其3.36億用戶更改密碼。當(dāng)用戶登錄“推特”看到彈出的安全提示時(shí)，可點(diǎn)擊鏈接直接跳轉(zhuǎn)至“密碼重置”頁面。美國有線電視新聞網(wǎng)（CNN）科技頻道進(jìn)而提出，如若用戶在Facebook、銀行賬戶等電子賬號(hào)中使用了同樣的密碼，也應(yīng)立即做出修改。

　　據(jù)美國哥倫比亞廣播公司（CBS）3日?qǐng)?bào)道，出現(xiàn)問題的是“推特”的密碼散列。通常情況下，“推特”的用戶密碼等敏感信息應(yīng)被“打亂”后儲(chǔ)存在其內(nèi)部服務(wù)器上，例如，如果一名用戶以“123456”為密碼，其在“推特”服務(wù)器的數(shù)據(jù)庫中不會(huì)顯示為“123456”，而是應(yīng)以某種數(shù)字與字母的隨機(jī)組合形式被儲(chǔ)存。這樣可以在不泄露用戶密碼的情況下驗(yàn)證用戶的登錄信息，是一種行業(yè)內(nèi)的規(guī)范做法。

　　但“推特”在一則聲明中承認(rèn)，該公司使用了一種名為“bcrypt”的哈希算法儲(chǔ)存加密用戶密碼，但是“由于某個(gè)漏洞”，在完成散列加密之前，用戶密碼被以純文本形式儲(chǔ)存起來。“推特”方面并未言明上述“漏洞”具體是什么。

　　“我們自己發(fā)現(xiàn)了這個(gè)錯(cuò)誤，刪除了文本密碼，并正在采取措施避免這個(gè)錯(cuò)誤再次發(fā)生。”“推特”首席科技官阿格拉瓦勒表示。

　　“推特”公司亦沒有說明何時(shí)發(fā)現(xiàn)了上述錯(cuò)誤。

　　美國著名科技博客網(wǎng)站Techcrunch指出，對(duì)于“推特”這樣規(guī)模的企業(yè)而言，犯下如此基礎(chǔ)的信息安全錯(cuò)誤是不同尋常的。但這也是一個(gè)契機(jī)，推動(dòng)用戶將賬號(hào)密碼安全掌握在自己手中，用戶可以選擇雙重身份驗(yàn)證或利用LastPass、1Password之類的賬號(hào)密碼管理軟件工具，以確保即便平臺(tái)出現(xiàn)安全漏洞時(shí)，自己的賬號(hào)也不會(huì)受到威脅。

原標(biāo)題：“推特”自曝安全漏洞，建議3.36億用戶修改賬號(hào)密碼

原鏈接：http://world.huanqiu.com/article/2018-05/11971189.html