Jeden błąd na Twitterze spowodował, że musisz tam zmienić hasło

Jakub Szczęsny

2018-05-04

Bezpieczeństwo Twitter

Hasła na Twitterze w tzw. plaintekście? Sam nie dowierzałem temu co przeczytałem - taki serwis jak Twitter nie może sobie pozwolić na tego typu wpadki. A jednak - okazało się, że przez taką właśnie ekspozycję danych logowania z Twittera 330 mln użytkowników musi koniecznie zmienić tam hasło. Nie wygląda jednak na to, żeby było to intencjonalne działanie - nie ma pewności, czy jest to efekt jakiegokolwiek ataku.

Jak wynika z pierwszych efektów śledztwa Twittera, nieznany błąd w infrastrukturze serwisu społecznościowego spowodował umieszczenie haseł użytkowników w niezabezpieczonym i niezaszyfrowanym logu (tzw. plaintext). Uzyskanie dostępu do niego przez osoby niepowołane zawsze kończy się źle: cyberprzestępca w jego ramach otrzymuje niezaszyfrowane hasła oraz loginy, które może prosto wykorzystać do przejmowania kont. Mało tego, może się pokusić również na inne konta skojarzone np. z konkretnym adresem e-mail. W jaki sposób? Wystarczy, że użytkownik Twittera ma takie samo hasło do innej usługi – wrota dla cyberprzestępcy są absolutnie otwarte.

Co spowodował jeszcze niewyjaśniony błąd?

Wstępne analizy Twittera wskazują na to, że doszło do błędu hashowania haseł. To normalna praktyka w przypadku serwisów internetowych – hasła nie są reprezentowane przez zrozumiałe dla nas ciągi lecz są maskowane za pomocą różnych algorytmów szyfrujących (to ogromne uproszczenie). Zatem, jeżeli logujecie się do dobrze zabezpieczonego serwisu hasłem „zaq12wsx”, w logach nie pojawi się „zaq12wsx” lecz zupełnie przypadkowy ciąg niezrozumiałych znaków, które oczywiście w żaden sposób nie podpowiedzą nam jakie dokładnie hasło wykorzystuje użytkownik.

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ

— Twitter Support (@TwitterSupport) 3 maja 2018

Twitter wykorzystywał do tego popularnego bcrypta. Nieznany błąd jednak spowodował, że hasła były przechowywane w plaintekście przed tym, jak były one hashowane. Dlaczego tak się stało – jest bardzo wiele hipotez. Jednak z nich zakłada nawet, że pewien bardzo cwany pracownik mógł intencjonalnie wprowadzić taką zmianę do funkcjonowania krytycznej infrastruktury Twittera, by np. sprzedawać te dane cyberprzestępcom lub instytucjom rządowym. Plik z hasłami użytkowników w plaintekście został usunięty przez Twittera i ten podaje, że najprawdopodobniej nie trafił w niepowołane ręce. Nie oznacza to jednak, że można do tej sprawy podejść kompletnie bezrefleksyjnie: hasła i tak należy zmienić i to jak najszybciej.

W dużo gorszej sytuacji są użytkownicy, którzy mają brzydką tendencję wykorzystywania tych samych haseł w różnych usługach. Tutaj sytuacja jest nieco bardziej skomplikowana: narażacie się na sytuację, w której cyberprzestępca bez trudu włamie się na inne Wasze konta. Często nawet zapominamy o niektórych loginach oraz hasłach w pewnych serwisach. Warto pamiętać o tym, by korzystać np. z menedżera haseł, który integruje się z przeglądarką internetową jako wtyczka. Z pewnością przechowywanie haseł np. na małych karteczkach w pobliżu biurka nie jest dobrym pomysłem.