Twitter savetuje korisnike da resetuju lozinke nakon otkrivanja grešaka

Svih 336 miliona Twitter korisnika potencijalno su u opasnosti nakon što je firma otkrila da su lozinke upisivane pre nego što su bile šifrovane algoritmom raspršivanja.

2 minutes read

Ako ste korisnik usluge Twitter, verovatno ste već dobili poruku: “Vreme je za resetovanje lozinke.”

Twitter je objavio 3. maja da je otkrio problem u svom sistemu koji je izložio korisničke lozinke potencijalnom riziku. Kompanija ove društvene mreže počela je savetovati korisnike kasno poslepodne sa savetima, e-poštom poslatom na registrovane adrese i, naravno, putem Twittera.

“Nedavno smo pronašli bug koji je upisivao neenkriptovane lozinke u internom logu. Fiksirali smo bug i nemamo nikakvih saznanja o kršenju ili zloupotrebi bilo koga. Kao mera opreza, razmislite o promeni lozinke na svim uslugama na kojima ste koristili ovu lozinku.” Napisao je Twitter.

Pomalo ironično, Twitter je objavio problem sa lozinkom na onome što je proglašeno Svetskim danom lozinki. U postu na blogu, Twitter CTO Parag Agrawal objasnio je okolnosti iza lozinke, koja deli upečatljivu sličnost s još jednim nedavno otkrivenim problemom na GitHubu.

“Maskiramo lozinke putem procesa koji se naziva hashing pomoću funkcije poznate kao bcrypt, koja zamenjuje stvarnu lozinku slučajnim brojem brojeva i slova upisanih u Twitterovom sistemu”, napisao je Agrawal. “To omogućava našem sistemu potvrdu verodostojnosti vašeg naloga bez otkrivanja vaše lozinke”.

Problem je bio u tome što je bug u Twitterovom sistemu omogućio čitanje tekstualnih lozinki koje su čitali i upisivali u log fajl pre nego što su lozinke izbrisane s bcryptom, rekao je Agrawal. Naglasio je da će Twitter sam pronaći nedostatak i već je preuzeo korake kako bi sprečio ponavljanje nedostatka.

GitHub je napravio sličnu najavu 1. maja, upozoravajući korisnike da je otkrila bug koji je izložio korisničke lozinke u internom sistemu prijavljivanja.

Rizik za korisnike

Twitter je izjavio da niko ni na Twitteru niti izvan njega nije zloupotrebio ili pristupao lozinkama. Iako je to slučaj, Twitter još uvek savetuje svim svojim korisnicima da ažuriraju svoje lozinke, iz predostrožnosti.

Činjenica da su GitHub i Twitter prijavili isto pitanje u roku od nekoliko dana mogla bi ukazivati na potencijalno širi problem. Iako su obe firme mogle jednostavno pogrešno konfigurisati svoje sisteme, možda postoji problem u biblioteci softvera ili komponenti koju koriste obe firme (a verovatno i drugi). Ako je to slučaj, onda očekujte da vidite i druge pružaoce usluga, web-sajtove kako će u danima koji slede objavljivati podatke u danima koji su unapred predviđeni za poništavanje lozinki.

Takođe je uočeno da Twitter nije utvrdio koliko dugo je problem bio prisutan u svom sistemu. Bilo da su lozinke bile izložene danima, nedeljama, mesecima ili čak godinama, u ovom trenutku jednostavno nije javno poznata. Iako Twitter veruje da lozinkama nije nepravilno pristupano, vremenski faktor uticaće na profil rizika.

Šta bi korisnici trebalo da urade

Korisnici bi trebalo da preduzmu prvi korak menjajući svoje Twitter lozinke, kao što firma i predlaže. Uzimajući u obzir da neki korisnici koriste iste lozinke na više sajtova, Twitter takođe predlaže da korisnici promene lozinke i na drugim servisima.

Twitter takođe predlaže korisnicima da aktiviraju verifikaciju logovanja putem “two-factor authentication (2FA)” na svojim Twitter nalozima. U decembru 2017, Twitter je omogućio korisnicima da lakše aktiviraju 2FA, pružajući tako novu uslugu zaštite osim SMS-a.

Sa aktiviranim 2FA, iako napadač dođe do korisnikove Twitter lozinke, još uvek neće moći pristupiti nalogu bez 2FA koda.

Izvor

Tagovi

2 minutes read