Twitter trzymał hasła otwartym tekstem

Postautor: **Bit-els** » piątek, 4 maja 2018, 08:25

Lepiej zmienić

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password.

Postautor: **pm7** » piątek, 4 maja 2018, 12:20

Bit-els pisze:Twitter trzymał hasła otwartym tekstem

Trochę clickbait

Przypadkowe zapisanie części haseł w logu to inna klasa błędu niż nieużywanie hashy do trzymania haseł.

YouTube · Postautor: **rav3n_pl** » sobota, 5 maja 2018, 12:05

To nawet większa kicha, bo mam wrażenie że do loga miało dostęp więcej ludzi niż do bazy

Bit-els pisze:Lepiej zmienić

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password.

O zasrańcy.

Dobrze, że używam Password Hashera.

Postautor: **ada1986** » poniedziałek, 7 maja 2018, 22:45

Taki niby poważny serwis a taka kicha. Wyciekły hasła wszystkich użytkowników ?

Poważnie,zmieńcie hasła.Mnie ktoś wbił się na konto,zmienił nazwę,zdjęcie,dodał 200 obserwowanych.Trochę straciłem czasu na pozbycie się całego pozostawionego syfu.

Postautor: **Rumcajs** » piątek, 11 maja 2018, 19:26

Mam nadzieje że moje konto ukradli bo nie chce go a skasować samemu szkoda

Postautor: **powered** » piątek, 11 maja 2018, 23:14

Parząc wstecz na takie przypadki to mam co raz to większe przekonanie że raczej nie są to przypadki, bo zdarza się to firmom i serwisom, które lubią gromadzić wszystkie informacje o użytkownikach. Inni jakoś nie mają takich wpadek.

Za tego typu błędy to programista powinien wylecieć z roboty, a nawet trudno mi uwierzyć że obecnie programista może łamać takie podstawowe zasady bezpieczeństwa. Przecież aby zapisać hasło w postaci jawnej to trzeba mieć ku temu jakiś cel, samo się nie zapisze.

powered pisze:Parząc wstecz na takie przypadki to mam co raz to większe przekonanie że raczej nie są to przypadki, bo zdarza się to firmom i serwisom, które lubią gromadzić wszystkie informacje o użytkownikach. Inni jakoś nie mają takich wpadek.

Za tego typu błędy to programista powinien wylecieć z roboty, a nawet trudno mi uwierzyć że obecnie programista może łamać takie podstawowe zasady bezpieczeństwa. Przecież aby zapisać hasło w postaci jawnej to trzeba mieć ku temu jakiś cel, samo się nie zapisze.

Oczywiście, że tak.

Jak pisałem pierwsze serwisy 15 lat temu, to pamiętam, że wymyśliłem własny algorytm HASH (nie wiedziałem wtedy że istnieje MD5) i nawet wymyśliłem do tego na kolanie prymitywną koncepcję solenia hasha, bo wydało mi się oczywiste iż trzymanie czystych haseł będzie zbyt niebezpieczne.

I co, teraz gdy mamy już 1/5 XXI wieku, ktoś chciałby mi wmówić, że nie było to dla niego oczywiste gdy praktycznie wszystkie serwisy w branży tego używają minimum od 10 lat?

Sprawa śmierdzi na kilometr celowym wałkiem.

Postautor: **Fred Onizuka** » sobota, 12 maja 2018, 14:00

O ile mi wiadomo, to same hasła były trzymane w bazie w postaci hashy (więc, tu było wszystko w porządku). Problem polegał na tym, że dane logowania (w tym hasło), przesyłane podczas logowania/tworzenia konta, do serwera (standardowo, czyli w formie tekstowej) były zapisywane w logach.
Czyli, ktoś włączył logowanie zapytań do serwera w niewłaściwym miejscu (i postaci)