Twitter ukladal nešifrované heslá, ohrozil 330 miliónov účtov

Twitter ukladal heslá nešifrované titulka

Používatelia sociálnej siete Twitter v posledných dňoch dostávajú upozornenie na aktualizáciu svojho hesla. Netreba sa obávať, nie je to falošná správa. Vlastne … práve preto sa treba obávať. Twitter totiž ukladal heslá amatérsky – ako obyčajný text.

Systém siete obsahoval bug, ktorý spôsoboval, že sa heslá ukladali v nešifrovanom stave do vnútorného denníka. Chybe je už v súčasnosti opravená a údajne nebol zaznamenaný žiadny pokus o zneužitie údajov. Napriek tomu je však bezpečnejšie, ak si svoje heslo preventívne zmeníte.

Najmä, ak ho používate aj do iných služieb. Čo síce nie je bezpečné, no na radosť hackerov pomerne časté.

Jedna z najpopulárnejších sietí tak čelí veľkému problému, ktorý môže viesť k strate dôvery. Pri celkovom počte približne 330 miliónov používateľov nejde o zanedbateľný fakt.

Čo sa vlastne stalo?

Heslá sa ne serveroch bežne premieňajú na hashe. To znamená, že sa ukladajú šifrované podľa istého vzorca či algoritmu (v tomto prípade ide o bcrypt) a vyzerajú ako zdanlivo náhodná zmes čísiel, písmen a znakov. To ich chráni pred zneužitím aj v prípade, že by ich ktokoľvek uvidel. Twitter ukladal ešte pred zašifrovaním vaše heslo – napríklad – “MilujemZdenkuStudenkovu” na vnútornom serveri ako “MilujemZdenkuStudenkovu”.

Ďalšie detaily predstavitelia odmietli uviesť. Vieme iba, že Twitter ukladal heslá do logu, ktorý bol ihneď po zistení problému vymazaný. Môžeme sa vraj spoľahnúť, že firma “implementuje plán, ktorý má zabezpečiť, aby sa tento bug neobjavil znova”.

Možno sa pýtate, aké bolo či je riziko. V prípade, že by sa hackeri rozhodli sieť napadnúť, heslá uložené ako jednoduchý nešifrovaný text by boli pre nich ako pochúťka ponúknutá na tácke. Ak dotyčný log už neexistuje a nikto si ho neskopíroval, riziko by malo byť nulové, no istota je istota. Heslo si radšej zmeňte. Martin Hron zo spoločnosti Avast odhadol, že riziko, že boli heslá ukradnuté je niekde medzi nízkym a stredným.

Podobné prípady ukladania nešifrovaných hesiel už narobili problémy napríklad T-Mobile Austria, alebo GitHubu.

Archie Agarwal, CEO spoločnosti ThreatModeler, zameranej na kyberbezpečnosť, sa vyjadril takto:

Ak všetkých 330 miliónov hesiel bolo uložených ako jednoduchý text vo vnútornom logu, potom nejde o bug, ale o chybu dizajnu. Zdá sa, že to tak bolo veľmi dlhý čas. To je ďalší dôvod, prečo sieť vyzýva na zmenu hesla všetkých a nie iba niektorých používateľov.

Twitter neuvádza, ako dlho boli heslá v takejto podobe uložené. Hovorkyňa povedala iba toto:

Zdôrazňujem, že nejde o prelomenie bezpečnosti a naše vnútorné vyšetrovanie ukázalo, že tu nebol pokus o zneužitie. Preto iba zdieľame túto informáciu, aby sa ľudia mohli rozhodnúť vo veci bezpečnosti ich účtu, keď vedia o čo ide.

Čosi veľmi podobné prehlásil aj CEO Twitteru.

Zdroj: twitter.com, cnet.com

Návod ako si zmeniť heslo na Twitteri a pár dobrých rád na túto tému nájdete v tomto článku.

O autorovi

Peter Vnuk
Peter Vnuk
Je celoživotným fanúšikom technológií a pracuje pre niekoľko popredných slovenských médií z tejto oblasti. Okrem produktových recenzií, spravodajstva zo sveta vedy a techniky, sa venuje tiež tematickým článkom na hi-tech témy, ako je umelá inteligencia, robotika, virtuálna realita a pod. Je mu blízka tiež herná sféra, preto recenzuje aj herné príslušenstvo a hry.

Pridaj komentár