Peter Vnuk 
Používatelia sociálnej siete Twitter v posledných dňoch dostávajú upozornenie na aktualizáciu svojho hesla. Netreba sa obávať, nie je to falošná správa. Vlastne … práve preto sa treba obávať. Twitter totiž ukladal heslá amatérsky – ako obyčajný text.
Systém siete obsahoval bug, ktorý spôsoboval, že sa heslá ukladali v nešifrovanom stave do vnútorného denníka. Chybe je už v súčasnosti opravená a údajne nebol zaznamenaný žiadny pokus o zneužitie údajov. Napriek tomu je však bezpečnejšie, ak si svoje heslo preventívne zmeníte.
Najmä, ak ho používate aj do iných služieb. Čo síce nie je bezpečné, no na radosť hackerov pomerne časté.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) May 3, 2018
Jedna z najpopulárnejších sietí tak čelí veľkému problému, ktorý môže viesť k strate dôvery. Pri celkovom počte približne 330 miliónov používateľov nejde o zanedbateľný fakt.
Čo sa vlastne stalo?
Heslá sa ne serveroch bežne premieňajú na hashe. To znamená, že sa ukladajú šifrované podľa istého vzorca či algoritmu (v tomto prípade ide o bcrypt) a vyzerajú ako zdanlivo náhodná zmes čísiel, písmen a znakov. To ich chráni pred zneužitím aj v prípade, že by ich ktokoľvek uvidel. Twitter ukladal ešte pred zašifrovaním vaše heslo – napríklad – “MilujemZdenkuStudenkovu” na vnútornom serveri ako “MilujemZdenkuStudenkovu”.
Ďalšie detaily predstavitelia odmietli uviesť. Vieme iba, že Twitter ukladal heslá do logu, ktorý bol ihneď po zistení problému vymazaný. Môžeme sa vraj spoľahnúť, že firma “implementuje plán, ktorý má zabezpečiť, aby sa tento bug neobjavil znova”.
Možno sa pýtate, aké bolo či je riziko. V prípade, že by sa hackeri rozhodli sieť napadnúť, heslá uložené ako jednoduchý nešifrovaný text by boli pre nich ako pochúťka ponúknutá na tácke. Ak dotyčný log už neexistuje a nikto si ho neskopíroval, riziko by malo byť nulové, no istota je istota. Heslo si radšej zmeňte. Martin Hron zo spoločnosti Avast odhadol, že riziko, že boli heslá ukradnuté je niekde medzi nízkym a stredným.
Podobné prípady ukladania nešifrovaných hesiel už narobili problémy napríklad T-Mobile Austria, alebo GitHubu.
Archie Agarwal, CEO spoločnosti ThreatModeler, zameranej na kyberbezpečnosť, sa vyjadril takto:
Ak všetkých 330 miliónov hesiel bolo uložených ako jednoduchý text vo vnútornom logu, potom nejde o bug, ale o chybu dizajnu. Zdá sa, že to tak bolo veľmi dlhý čas. To je ďalší dôvod, prečo sieť vyzýva na zmenu hesla všetkých a nie iba niektorých používateľov.
Twitter neuvádza, ako dlho boli heslá v takejto podobe uložené. Hovorkyňa povedala iba toto:
Zdôrazňujem, že nejde o prelomenie bezpečnosti a naše vnútorné vyšetrovanie ukázalo, že tu nebol pokus o zneužitie. Preto iba zdieľame túto informáciu, aby sa ľudia mohli rozhodnúť vo veci bezpečnosti ich účtu, keď vedia o čo ide.
Čosi veľmi podobné prehlásil aj CEO Twitteru.
Zdroj: twitter.com, cnet.com
Návod ako si zmeniť heslo na Twitteri a pár dobrých rád na túto tému nájdete v tomto článku.
TweetO autorovi
- Je celoživotným fanúšikom technológií a pracuje pre niekoľko popredných slovenských médií z tejto oblasti. Okrem produktových recenzií, spravodajstva zo sveta vedy a techniky, sa venuje tiež tematickým článkom na hi-tech témy, ako je umelá inteligencia, robotika, virtuálna realita a pod. Je mu blízka tiež herná sféra, preto recenzuje aj herné príslušenstvo a hry.
Najnovšie články autora
TechGuru26. novembra 2024Qualcomm dýcha Intelu a AMD na krk. Chce čipy nielen v PC, ale aj v autách či headsetoch- TechGuru21. novembra 2024Bitcoin prekročil 94 000 dolárov. Vraj mieri na 120 000
- TechGuru20. novembra 2024Alexa s AI nefunguje. Bezos chcel AI za 20 dolárov s mozgom v cloude
- TechGuru14. novembra 2024Najčastejšie heslá Slovákov možno prelomiť za sekundu
