Twitter、パスワードを平文でログに記録　全ユーザーに変更促す

minet 曰く、　Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事、ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

　Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Twitter | 暗号

　関連ストーリー：
Twitter、「Facebookの個人情報を不正入手していた企業」にデータを提供していたことを発表 2018年05月02日
Twitter、カスペルスキーの広告を拒否。同社は具体的な理由を説明しないTwitterを批判 2018年04月25日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日