パスワードを忘れた? アカウント作成
13589641 story
Twitter

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 35

ストーリー by headless
発見 部門より
minet 曰く、

Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • GitHub でも (スコア:5, 参考になる)

    by Anonymous Coward on 2018年05月04日 14時18分 (#3402701)

    近頃同じような問題が発見されたようです https://it.slashdot.org/story/18/05/02/0613205/github-accidentally-exp... [slashdot.org]
    一部のユーザが対象のようです
    GitHub からメールを受け取って知りました (巧妙な釣りかとおもいました)

  • ニュースを読んで、Twitter開いて、パスワード変更して、再ログインとなって、警告が現れた。
    この警告、効果あるのかな。

  • PCのWebブラウザでパスワードを変更して
    iOS側も変更しなきゃなあと思いTwitterアプリを起動したら
    パスワードが同期されていて普通に起動したこと

    アプリ連携が動作していたので同期されたんだろうなあってことに・・・
    なんか怖かった
    • by Anonymous Coward

      Twitterの公式アプリは、「パスワードが一回入力されたら、そこからAPIトークンを発行して以後はそれを使う(APIトークンは https://twitter.com/settings/applications [twitter.com] から取り消したりアカウントを消去などのことをしない限りパスワードを変えたりしても一生使える)」という実装なはずなので、パスワードがアプリ内で保持されているわけでも変更したパスワードがアプリに同期されているわけでもないはずです。

      • 勉強になります

        逆にこのようなAPIトークンを実装しているソフトが少ない印象を受けました
        親コメント
      • by Anonymous Coward on 2018年05月06日 1時12分 (#3403221)

        まともなサービスはそういう実装してるはずだけど、割と普通にローカルにパスワード保存してるアプリあるのよね・・・
        Twitterなんかはアプリ開くと基本すでにログイン状態のようなもので、入力は求められないけど、
        その都度入力を要求する作りのアプリとか、TouchIDで認証求めてパスした後に、パスワードを自動入力する、という実装。
        特に日本の(ITじゃない)大企業のアプリはどれもひどいね。WebView多用だし。

        親コメント
        • by Anonymous Coward

          まともなサービスはそういう実装してるはずだけど、割と普通にローカルにパスワード保存してるアプリあるのよね・・・

          日本国内の某IT系企業にいますが、業務システム刷新のときに「パスワードはハッシュ化して保存しなくていいんですか?」って上長に聞いても「え?なんで?暗号化すればいいでしょ?」だったからなぁ。

          # そのシステムで顧客ユーザーの信用情報とかマイナンバーとか扱ってる会社なのでAC

          • by Anonymous Coward

            ハッシュ化と暗号化が別物であると分かってもらえてるだけまだマシですよ…。

            # 当然AC

    • by Anonymous Coward

      昨日パスワード変更したら、連携アプリの確認も求められた気がする。
      iOSアプリとの連携を止めたければ、その時に中止にすれば良かっただけだと思う。

      #自分は久しぶりに連携アプリの大掃除をした。こんなに利用していたのね……

  • by Anonymous Coward on 2018年05月04日 19時16分 (#3402749)

    「アカウントセキュリティに関するお知らせ」と言うメールが来てましたが「ハッシングと呼ばれるプロセル」など日本語がなんともおかしい
    相当に質の悪い機械翻訳でしょうか
    この記事を見るまでフィッシングメールだと思ってました

    • by Anonymous Coward

      あんな家賃の高いビルにオフィス置いて翻訳者一人も雇えないのか

    • by Anonymous Coward

      急いでるからですかね~。

      さっきモバイル版にアクセスしたら、
      ハッシュのことをマスクとか書いてて、
      なるほど一般人にはそっちの方が分かりやすいかもな
      と感心しました。

      少しずつ対応を改善しているのかもしれないっすね。

      • by Anonymous Coward

        一般人には、どっちも均等にわからないのでは。

  • by Anonymous Coward on 2018年05月05日 1時00分 (#3402845)

    漏洩センサーとしてこのまま使っていようと思う。

    • by Anonymous Coward

      使い回ししていたら、twitterのパスワードだけ変更しても効果のある対策にはならないですね。

      今回のアナウンスは、twitter社内の内部犯の存在を疑ってくださいというメッセージなんでしょうが、
      ぶっちゃけそのタイプの攻撃に対してはそもそも一般利用者は抵抗のしようがないしパスワード変える意味あんの?とはちょっと思う。
      件のバグを情報を抜くために故意に仕込む人物の存在をユーザーが疑っても始まらない。

      まあリアルに考えると、本番環境でもログは相対的に緩い権限でアクセスできるシステムになっていて
      悪用があった時の容疑者の特定が困難(だから普段の条件では信用できる社員でも魔が差すことがあるかも)で、
      若干リスクが上乗せされてるからってことなんでしょうが。

      • by Anonymous Coward on 2018年05月05日 9時47分 (#3402875)

        欧米の会社は社員を信用していない
        この手のセキュリティリスクに対応するために
        暗号化アルゴを開発する人と、データを運用する人は分けてる
        暗号化アルゴを開発する人達は、Twitterの内部ログの生データにはアクセスできないようにされてるし
        データを運用する人達は、暗号化されたあとのデータしか触れない
        だから、生データがそのまま保存されてる自体ってのは本来想定してないんだよ
        日本企業はその辺なあなあで済ますところが多いから信用されないけど

        親コメント
        • by Anonymous Coward

          そういう意味では、「bcrypt関数でハッシュ化している」ということなので

          暗号化アルゴリズムは、そもそも自社開発していない。

          • by Anonymous Coward

            自社開発した暗号化アルゴリズムとか怖すぎて使えるわけがない。それこそ従業員がこっそりバックドアを仕込んでいてもまったく不思議はないな

        • by Anonymous Coward

          いや欧米は関係ないでしょ。

          それなりの企業ならヒラの開発者は実環境のログにはアクセスできない体制にしてる。
          でも開発者と監視者が手を組んだら不可能も可能にできる。
          所詮人を完全に信用しない運用なんて成立しないよ。

    • by Anonymous Coward

      同じく
      つか、Twitterのアカウントに使ってるメアドも
      捨てアド扱いのものなんで漏れたら漏れたで面白そうw

  • by Anonymous Coward on 2018年05月04日 21時53分 (#3402800)

    「2要素認証を有効化すること」も推奨している割には、
    手続きのためのメール送付が「新規メールアドレス登録時」にしかできない造りのままなあたりからも
    なんだか全体が見通されてないシステムという印象がします。
    新規アカウントを作る人にとっては問題ないけども。

  • by Anonymous Coward on 2018年05月05日 12時44分 (#3402927)

    本当にTwitter内部のログだったら、内部で削除すればいいんじゃないの?なんでエンドユーザに対応を求めるの?

    "内部"と安全性をアピールしてるけど、短期のカスタマエンジニアとか下請けとかの"ほぼ外部"の人間の目に触れる状態だったんじゃないの?

    • by Anonymous Coward on 2018年05月05日 13時30分 (#3402938)

      こういう事言うやつがいるから隠蔽体質が生まれるんだな。

      親コメント
      • by Anonymous Coward

        本当に信用できるTwitter社員のみが閲覧できる状態なら該当ログを削除するだけで良いのでは、と思った次第。
        隠蔽とかじゃなくて、単に「不要な作業をユーザに求めないで欲しい」と思ったんです。

        もし信用できない部外者が閲覧できる(可能性がある)なら、「内部ログ」とか安全アピールせずに「情報漏洩した」と言えば良くない?

    • by Anonymous Coward

      あんたの言う「内部」「外部」ってのはどういう意味なんだ?
      平文のパスワードを見れた可能性のある人間がいるのなら、そいつが社外の下請けだろうが現社員だろうがすでに退職した元社員だろうが、悪用されてユーザーに被害を与えたり会社の信用を失墜させる恐れが1%でもあるのなら、万が一を考えて傷が浅いうちに正直に報告してユーザーに対策してもらうのが賢明な判断だと思うがね。

      てか、「パスワードが不正に使用された兆候はみられない」って兆候ってのはこれから起こりそうな前触れって意味なんだが

    • by Anonymous Coward

      万が一のことを考えてじゃないの?

  • by Anonymous Coward on 2018年05月05日 23時06分 (#3403177)

    RoRは最初期から、 password という名前のPOSTパラメータは、デフォでログに描き出す時にマスクする対象になってるので、scalaで再実装した時に漏れたのかな…

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...