Твитер только недавно освоил шифрование паролей!?

Вчера пришло от твитера:

«Когда Вы задаете пароль для учетной записи Твиттера, мы скрываем его с помощью маскирования, чтобы никто в нашей компании не мог его увидеть. Недавно мы обнаружили программную ошибку, из-за которой пароли хранились во внутреннем журнале в открытом виде. Мы исправили эту ошибку, и расследование не выявило признаков нарушения безопасности или неправомерного использования.

Тем не менее дополнительная предосторожность не помешает, поэтому мы просим Вас сменить пароль везде, где Вы его использовали.»

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Ну если вы прочли и не поняли, расшифровываю: на бекенде твиттера вероятно есть логи чтобы отследить важные действия (регистрации, смены паролей и т.д.). Кто-то допустил ошибку, из-за которой в такие логи писались пароли. Это однако не означает что пароли хранятся в открытом виде в базе.

Пример подобной ошибки: Мне в руки как-то попадали логи клиентской программы для трейдеров где они совершают операции с ценными бумагами. Моей задачей было вытащить оттуда операции покупки и продажи, но с умилением в логах я обнаружил логин и пароль человека, который пользовался терминалом. Просто какой-то очень умный разработчик писал в лог все важные и не очень события, а потом программу так и выкатили клиентам. Писал им в саппорт про этот баг, не знаю исправили ли и как быстро. Терминал правда был то ли конкурсный, то ли учебный, но где гарантия что у человека не такой же точно пароль к счету с реальными деньгами.

Частая ошибка, сам пару раз допускал.

twitter тоже готовится к GDPR

Пароли не шифруются нигде (ну, в нормальных местах)

Интересная у вас планета

шифрование ≠ хеширование

Шифруются тоже. Именно для того, чтобы даже если пароль хранится на серверной стороне в обратно восстановимой форме (а это необходимо в некоторых случаях), нельзя было его получить при утечке собственно таблицы юзеров/паролей. Ключ к шифру в этом случае хранится где-то совсем отдельно.
Что это за «некоторые случаи» — например, HTTP Digest authentication, которая обязательна для SIP. Конечно, хотелось бы завернуть Basic в TLS, но это ещё ой далеко не везде поддерживается.

И на клиентской стороне (типа движка сайта, когда он лезет к чему-то удалённому) нормально зашифровать пароль, чтобы при частичной утечке не отдать его хакеру.

Шифруются тоже

не спорю, но всё же это редкие кейсы и скорее исключения

типа движка сайта, когда он лезет к чему-то удалённому

обычно выдаётся какой-то рандомный токен

хэширование = одностороннее_шифрование

Не хочу вдаваться в демагогию о трактовках, но всё же шифрование в общем случае предполагает расшифровку, хоть симметричную, хоть ассиметричную, не суть.

Загововок должен передавать суть сабжа. Исходя из заголовка сразу подумал «эт че они хранили пароли в открытом виде»
Дочитав понял что это хитровжаренная уязвимость еще и возникла небойсь из-за давнего технологического долга.
Поосторожней с заголовками. Сейчас небойсь какие-нибудь не очень внимательные люди за чашкой кофе обсуждают «Мы уже давно пароли хешируем, а твиттер л@хи»

згідний, вибачаюсь, вибухнув) але це був один з тих ресурсів де я використовував універсальниий пароль

Breach Notification

Under the GDPR, breach notification will become mandatory in all member states where a data breach is likely to “result in a risk for the rights and freedoms of individuals”. This must be done within 72 hours of first having become aware of the breach. Data processors will also be required to notify their customers, the controllers, “without undue delay” after first becoming aware of a data breach.

Твиттер недавно сделал регистрацию с обязательным указанием телефона, раньше его можно было не указывать. Вот это самая главная и крупная засада.
Не подскажите толковый сервис, где можно бесплатно получать СМС для регистрации? И есть ли такой с украинскими телефонами? В последние годы существенно сокращается свобода в интернете, все популярные соцсети/мессанджеры/почтовики требуют идентификации личности юзера, и упорно хотят телефон. Ну а я упорно не хочу указывать телефон. Может кто-то уже нашёл эффективное решение по этому вопросу?

сомниваюсь что такое возможно, ведь номер телефона привязывают к личности, тоесть они уникальны.

Вот именно в этом задача и состоит, чтобы аккаунт не привязывать к личности, чего на сегодняшний день добиваются во всём мире. Как вариант — юзать виртуальные номера. Кроме того, возможно тут суть проблемы ещё пока не понимают, и не оценили в полном объёме, поскольку ещё есть реальная свобода, и сим-карты продаются свободно без привязки к паспортным данным.

Если вы в Украине, то

сим-карты продаются свободно без привязки к паспортным данным

В чём проблема?

Если вы в Украине, то
сим-карты продаются свободно без привязки к паспортным данным
В чём проблема?

Я сижу в Крыму, сим-карты продаются только псевдо-МТС, и только по паспорту. Причём номера +7(978) однозначно определяются сразу с привязкой к месту. Ехать на материк, чтобы купить сим-карту, и сделать регистрации — слишком геморно. Раньше — да, подобной проблемы не было.

А вам лишь бы срать в комментах анонимно?

Совершенно верно, хочу иметь такую возможность, а не писать каменты в строгом соответствии с законодательством российской федерации.

но тут палка о двух концах! с одной стороны хорошо когда вас не могут преследовать за ваши взгляды, с другой стороны не понятно кого преследовать за урозу вашей жизни опять же за ваши взгляды!

Если аккаунт реально анонимный, то и все угрозы не имеют никакого смысла, только служат индикатором интеллектуального уровня угрожающих.

Эти пароли в твиттере, они как серебрянные ложечки. Осадочек-то остался.

А сам журнал — хранился в открытом месте, куда ходи всяк желающий? Обычно угрозы такого класса не особо опасны, если только на серверах не взведено по-дефолту право на чтение всем желающим.

Чаще всего логгеры в серьёзных проектах, особенно высоконагруженных — это отдельный класс софта, со своими настройками. Так что не только добраться логам, а даже узнать где они лежат, бывает очень затруднительно.

с таким успехом и в базе можно не хешировать пароли, зачем эти все сесурити прибамбасы, там же не ходит всяк желающий!?
Согласен, данный провтык не особо опасен по степени.

В базе их искать будут, и знают где искать. А вот где искать логи — знает лишь софт, который может вообще за тридевять земель находиться.

Вроде бы в базе пароль шифрованный. Только в логах засветили. Кто-то, похоже, удачно подебажил принтами и забыл.

Да в базу как положено они хеширровали.
думаю что да, иначе не вижу причин кидать пароль в логи

У GitHub тоже недавно похожая проблема была:
www.zdnet.com/...​xposed-account-passwords

Подписаться на комментарии