Twitter zistil vo svojom systéme závažnú bezpečnostnú chybu.

Za určitých okolností totiž ukladal kópie nezašifrovaných hesiel svojich používateľov. To znamená, že heslá boli na disk ukladané v textovej podobe. 

Ukladanie nezašifrovaných hesiel vo forme textu sa na internete  vyslovene neodporúča. Systém pracuje s heslom iba na úrovni operačnej pamäte, a to iba v prípade pokiaľ ide o vytváranie, alebo zmenu používateľa počas overovania v rámci prihlasovacieho procesu.

Textová podoba hesla by nemala byť ukladaná ani do dočasných súborov, ktoré sú neskôr zmazané. Ešte pred vymazaním môže prísť v programe ku chybe, ktorá môže odpojiť disk na ktorom súbor s heslom ostanú uložené. Ďalším problémom môže byť ukladanie hesiel do virtuálnej pamäte, kedy sa heslá môžu ľahko ocitnúť v odkladacom súbore na disku.

Naozaj je nutné vyvarovať sa akejkoľvek činnosti, ktorá by viedla k trvalému uloženiu hesiel v jednoduchej textovej podobe. A súčasťou príslušných opatrení musí byť aj jasné NIE ukladanie hesiel do súborov s protokolmi.

Toto pravidlo Twitter porušil. Dobrou správou je, že samotná databáza obsahujúca heslá bola v prípade Twitteri implementovaná bezpečne.

Zlou správou v prípade Twitteru je, že vysoká miera bezpečnosti poskytovaná funkciou bcrypt bola degradovaná zapisovaním pôvodnej textovej podoby hesiel do systémových logov. A ak sa útočníci pozreli miesto do databázy s heslami do súborov s týmito protokolmi, nemuseli nič dešifrovať ani vykonávať „slovníkové útoky.“

Čo s tým?

Twitter tvrdí, že chyba je už opravená a že nič nenasvedčuje tomu, že by došlo k nejakému zneužitiu alebo narušenia dát. Odporúča len, aby používatelia „zmenu svojho hesla zvážili.“

Bezpečnostná spoločnosť Sophos pristupuje k tomuto problému konzervatívnejšie a vyzýva k okamžitej zmene hesla. Aj z toho dôvodu, že Twitter neoznámil žiadne informácie o charaktere a rozsahu popisovaného bezpečnostného problému.

Pre zvýšenie ochrany svojho účtu môžete použiť Dvojstupňové overenie, kedy je potrebné pre prihlásenie sa do účtu zadať aj jednorázový kód, ktorý vám bude zaslaný na mobilné zariadenie.

Prečítajte si aj:

Viac ako 90% používateľov Gmailu stále nevyužíva dvojstupňové overenie. Prečo by ste si však mali túto funkciu aktivovať?