北京时间今日,Twitter官方发布公告称遇到了一次硬件故障,导致了部分用户的密码被以纯文本形式暴露。该公司表示,这个故障是内部bug所致,未有证据显示遭到了泄密,但建议用户进行更改密码。
Twitter的CTO Parag Agrawal在公告中表示:
当你为Twitter帐户设置密码时,我们会使用技术将其掩盖,使任何公司内部人员都无法看到它。我们最近发现了一个bug,它会将密码以无加密的形态存储在内部日志中。我们已经修复了这个bug,经过调查显示,没有任何人存在违反规定或者进行滥用的迹象。
他补充道:
谨慎起见,我们建议你在所有使用此密码的服务里进行密码更改。
对于这个bug,Agrawal的描述是,Twitter使用了bcrypt的函数,以散列来掩盖密码。这一过程即,使用存储在Twitter系统中的随机数字和字母替换实际密码。这个bug导致了密码散列过程完成之前,就先被写入了内部日志。
Agrawal表示,发现了这个错误之后已经删除了密码,并正在通过措施来预防此类错误的发生。