"we didn't have to"
Twitter fordert Nutzer zur Passwort-Änderung auf
Der Kurznachrichten-Dienst Twitter hat seine Nutzer dazu aufgerufen, die persönlichen Account-Passwörter zu ändern bzw. durch ein neues Passwort zu ersetzen. Der Grund für die im Hausblog kommunizierte Sicherheitsmaßnahme sei ein Bug, der bei einer internen Überprüfung festgestellt wurde.
Demnach seien Nutzer-Passwörter in den zurückliegenden Monaten im Klartext auf den Servern des 280-Zeichen-Dienstes gespeichert worden, dies wiederum hätte Mitarbeitern des Unternehmens die Möglichkeit eingeräumt entsprechende Account-Details einzusehen.
Wir haben kürzlich einen Fehler entdeckt, bei dem Passwörter in einem internen Protokoll im Klartext gespeichert wurden. Wir haben den Fehler behoben, und unsere Untersuchung zeigt keinen Hinweis auf eine Verletzung oder einen Missbrauch durch Dritte. Aus größter Vorsicht bitten wir Sie dennoch ihr Passwort für alle Dienste zu ändern, bei denen Sie dieses Passwort verwendet haben. Sie können Ihr Twitter-Passwort jederzeit ändern, indem Sie auf die Seite für die Passworteinstellungen gehen.
Flankiert wurde die Sicherheitswarnung Blog-Eintrag von einem Tweet des Twitter-CTO Parag Agrawal. Dieser unterstreicht, dass Twitter nicht in der Pflicht gestanden hätte, überhaupt auf die Sicherheitslücke aufmerksam zu machen, sich aber dennoch für den Schritt entschieden hätte, um „das Richtige zu tun“. Eine Aussage, die Agrawal inzwischen zumindest relativiert hat.
We are sharing this information to help people make an informed decision about their account security. We didn’t have to, but believe it’s the right thing to do.
Man lernt doch schon im Sicherheitsgrundkurs, dass Passwörter niemals irgendwo im Klartext auftauchen dürfen. Wieso ist das so oft noch gängige Praxis?
..weil sie alle nur mit Wasser kochen. Twitter wie auch Facebook waren geniale Ideen, die anfangs aber übel IT-Technisch zussammengeschustert waren.
Dann ließt man eben den ganzen Code?
RealDonaldTrump übernehmen…
Ich frage, in was für einem Protokoll. Twitter dürfte ja nur im Moment des Login (und Registrierung) Zugriff auf das PW im Klartext haben. Bei einem fehlerhaften Anmeldeversuch wird nur ein falsches PW geloggt, bei erfolgreichem Einloggen gibt es (aus meiner Sicht) keinen Grund das Passwort (Klartext oder als Hash) zu loggen.
Irgendwo muss das System ja wissen, wie Benutzer und Passwort ist. Ob es nun im Klartext da steht oder nicht.
Im Text steht, das es ein bug war. Sowas kann immer mal passieren.. nur weil es Twitter, Facebook oder Apple sind, heißt es nicht, das die unfehlbar sind.
Solche bugs können immer aus den kuriosesten Konstellationen entstehen und auch, wenn man eine Änderung an einem anderen System vornimmt, was mit diesem Thema vielleicht nur sehr wenig zu tun hat.
Jeder, der mal programmiert hat weiß, das dies leider immer sehr schnell passiert und manchmal erst sehr spät gefunden und dann auch schwer zu fixen ist.
Bin kein Profi, aber ich hatte in meinen kleinen Tools auch schon Probleme, wo ich Wochen lang dran gesessen habe
Aus der Mail:
«Wir maskieren Passwörter durch einen Prozess namens Hashing mit einer Funktion namens bcrypt. […] Dies ist ein Industriestandard.
Aufgrund eines Fehlers wurden Passwörter in ein internes Protokoll geschrieben, _bevor_ der Hash-Prozess abgeschlossen wurde. Wir haben diesen Fehler selbst gefunden, die Passwörter entfernt und Maßnahmen umgesetzt, um diesen Fehler zukünftig zu verhindern.»
Es gäbe keinen Hinweis auf Missbrauch, dennoch rieten sie zu einem PW-Wechsel inkl. Umstellung auf 2FA, soweit noch nicht geschehen.
Finde ich soweit sehr transparent und völlig okay.
Stellt euch mal vor so etwas wäre Facebook passiert. Über 200 Hass-Kommengtare garantiert. :D
2FA ftw!
Das kriege ich zur Zeit aber LEIDER nicht eingerichtet :(