Hasła na Twitterze w tzw. plaintekście? Sam nie dowierzałem temu co przeczytałem - taki serwis jak Twitter nie może sobie pozwolić na tego typu wpadki. A jednak - okazało się, że przez taką właśnie ekspozycję danych logowania z Twittera 330 mln użytkowników musi koniecznie zmienić tam hasło. Nie wygląda jednak na to, żeby było to intencjonalne działanie - nie ma pewności, czy jest to efekt jakiegokolwiek ataku.
Jak wynika z pierwszych efektów śledztwa Twittera, nieznany błąd w infrastrukturze serwisu społecznościowego spowodował umieszczenie haseł użytkowników w niezabezpieczonym i niezaszyfrowanym logu (tzw. plaintext). Uzyskanie dostępu do niego przez osoby niepowołane zawsze kończy się źle: cyberprzestępca w jego ramach otrzymuje niezaszyfrowane hasła oraz loginy, które może prosto wykorzystać do przejmowania kont. Mało tego, może się pokusić również na inne konta skojarzone np. z konkretnym adresem e-mail. W jaki sposób? Wystarczy, że użytkownik Twittera ma takie samo hasło do innej usługi - wrota dla cyberprzestępcy są absolutnie otwarte.
Wstępne analizy Twittera wskazują na to, że doszło do błędu hashowania haseł. To normalna praktyka w przypadku serwisów internetowych - hasła nie są reprezentowane przez zrozumiałe dla nas ciągi lecz są maskowane za pomocą różnych algorytmów szyfrujących (to ogromne uproszczenie). Zatem, jeżeli logujecie się do dobrze zabezpieczonego serwisu hasłem "zaq12wsx", w logach nie pojawi się "zaq12wsx" lecz zupełnie przypadkowy ciąg niezrozumiałych znaków, które oczywiście w żaden sposób nie podpowiedzą nam jakie dokładnie hasło wykorzystuje użytkownik.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 maja 2018
Jak wynika z pierwszych efektów śledztwa Twittera, nieznany błąd w infrastrukturze serwisu społecznościowego spowodował umieszczenie haseł użytkowników w niezabezpieczonym i niezaszyfrowanym logu (tzw. plaintext). Uzyskanie dostępu do niego przez osoby niepowołane zawsze kończy się źle: cyberprzestępca w jego ramach otrzymuje niezaszyfrowane hasła oraz loginy, które może prosto wykorzystać do przejmowania kont. Mało tego, może się pokusić również na inne konta skojarzone np. z konkretnym adresem e-mail. W jaki sposób? Wystarczy, że użytkownik Twittera ma takie samo hasło do innej usługi - wrota dla cyberprzestępcy są absolutnie otwarte.
Wstępne analizy Twittera wskazują na to, że doszło do błędu hashowania haseł. To normalna praktyka w przypadku serwisów internetowych - hasła nie są reprezentowane przez zrozumiałe dla nas ciągi lecz są maskowane za pomocą różnych algorytmów szyfrujących (to ogromne uproszczenie). Zatem, jeżeli logujecie się do dobrze zabezpieczonego serwisu hasłem "zaq12wsx", w logach nie pojawi się "zaq12wsx" lecz zupełnie przypadkowy ciąg niezrozumiałych znaków, które oczywiście w żaden sposób nie podpowiedzą nam jakie dokładnie hasło wykorzystuje użytkownik.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 maja 2018
Twitter wykorzystywał do tego popularnego bcrypta. Nieznany błąd jednak spowodował, że hasła były przechowywane w plaintekście przed tym, jak były one hashowane. Dlaczego tak się stało - jest bardzo wiele hipotez. Jednak z nich zakłada nawet, że pewien bardzo cwany pracownik mógł intencjonalnie wprowadzić taką zmianę do funkcjonowania krytycznej infrastruktury Twittera, by np. sprzedawać te dane cyberprzestępcom lub instytucjom rządowym. Plik z hasłami użytkowników w plaintekście został usunięty przez Twittera i ten podaje, że najprawdopodobniej nie trafił w niepowołane ręce. Nie oznacza to jednak, że można do tej sprawy podejść kompletnie bezrefleksyjnie: hasła i tak należy zmienić i to jak najszybciej.
W dużo gorszej sytuacji są użytkownicy, którzy mają brzydką tendencję wykorzystywania tych samych haseł w różnych usługach. Tutaj sytuacja jest nieco bardziej skomplikowana: narażacie się na sytuację, w której cyberprzestępca bez trudu włamie się na inne Wasze konta. Często nawet zapominamy o niektórych loginach oraz hasłach w pewnych serwisach. Warto pamiętać o tym, by korzystać np. z menedżera haseł, który integruje się z przeglądarką internetową jako wtyczka. Z pewnością przechowywanie haseł np. na małych karteczkach w pobliżu biurka nie jest dobrym pomysłem.
Twitter wykorzystywał do tego popularnego bcrypta. Nieznany błąd jednak spowodował, że hasła były przechowywane w plaintekście przed tym, jak były one hashowane. Dlaczego tak się stało - jest bardzo wiele hipotez. Jednak z nich zakłada nawet, że pewien bardzo cwany pracownik mógł intencjonalnie wprowadzić taką zmianę do funkcjonowania krytycznej infrastruktury Twittera, by np. sprzedawać te dane cyberprzestępcom lub instytucjom rządowym. Plik z hasłami użytkowników w plaintekście został usunięty przez Twittera i ten podaje, że najprawdopodobniej nie trafił w niepowołane ręce. Nie oznacza to jednak, że można do tej sprawy podejść kompletnie bezrefleksyjnie: hasła i tak należy zmienić i to jak najszybciej.
W dużo gorszej sytuacji są użytkownicy, którzy mają brzydką tendencję wykorzystywania tych samych haseł w różnych usługach. Tutaj sytuacja jest nieco bardziej skomplikowana: narażacie się na sytuację, w której cyberprzestępca bez trudu włamie się na inne Wasze konta. Często nawet zapominamy o niektórych loginach oraz hasłach w pewnych serwisach. Warto pamiętać o tym, by korzystać np. z menedżera haseł, który integruje się z przeglądarką internetową jako wtyczka. Z pewnością przechowywanie haseł np. na małych karteczkach w pobliżu biurka nie jest dobrym pomysłem.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
