Znanost in tehnologija
(9)
Ocena novice: Vaša ocena:
Ocena 1.2 od 4 glasov Ocenite to novico!
Twitter
Pri Twitterju so dejali, da so napako odkrili pred nekaj tedni. Foto: Reuters

Dodaj v

Twitter uporabnike poziva, naj zaradi napake spremenijo geslo

Napako so že odpravili
4. maj 2018 ob 10:55
San Francisco - MMC RTV SLO, STA, Reuters

Družbeno omrežje Twitter je pozvalo več kot 330 milijonov svojih uporabnikov, naj spremenijo svoje geslo, saj so se zaradi tehnične napake gesla shranila brez šifriranja.

Podjetje sicer ni našlo nobenih namigov, da je kdo izkoristil varnostno luknjo.

Običajno omrežja gesla shranjujejo tako, da jih šifrirajo ali skrijejo s pomočjo algoritmov. Tudi Twitter ob shranjevanju gesel ta zašifrira, tako da jih ne morejo prebrati niti uslužbenci podjetja. Zaradi programske napake so bila gesla začasno vidna v spletnem zapisu, so zapisali pri Twitterju.

Napako so že odpravili, datoteko z vidnimi gesli pa so izbrisali.

Zaradi napake bi lahko uslužbenci Twitterja imeli dostop do zasebnih gesel uporabnikov, v primeru vdora pa bi jih lahko hekerji skopirali. Vendar Twitter ni našel nobenih dokazov, da bi se eden od zgornjih scenarijev uresničil, a so vseeno preventivno pozvali k spremembi gesel.

Podjetje sicer ni navedlo, koliko časa so bila gesla vidna.

A. P. J.
Prijavi napako
Komentarji
Rasta75
# 04.05.2018 ob 12:17
Kot IT strokovnjak bom pripomnil samo to, da se vidi, da je članek prepisoval in "prevajal" nekdo, ki o IT nima nobenega globjega znanja. Gesla se ne shranjuje kar tako v neko datoteko, temveč v podatkovno bazo (ki je seveda zapisana v eni ali večih datotekah, do katerih pa nikakor ni možen dostop preko www).
"Pobrisana datoteka" je bila v tem primeru najverjetneje kakšna debugging skripta, ki je iz bazeprebirala in izpisovala podatke - za namen razhroščevanja SQL stavka, obdelave in prikaza iz baze pridobljenih podatkov, ...
Ker je članek tako slabo sestavljen in povsem brez povezav na vir te informacije, lahko tudi tisti, ki se na te stvari spoznamo, samo ugibamo za kaj je dejansko šlo pri tej stvari.
mb128
# 04.05.2018 ob 11:05
Pa saj ni takšen problem, da so bila gesla vidna, problem je to kdo, če sploh kdo, je vedel, da so bila gesla ves ta čas vidna!
penzl
# 04.05.2018 ob 18:02
@Rasta75 jaz bi dodal še, da tu ne gre za šifriranje gesel (angl. encryption), temveč zgoščevanje (angl. hashing) z eno od zgoščevalnih funkcij, kar seveda ni isto. Tudi to kaže na bodisi slab prevod bodisi nepoznavanje področja.
eMZe
# 04.05.2018 ob 16:08
Gesla so bila v čistopisu vidna v dnevniku dostopov pri Twitterju. Ne v spletnih straneh. Kdor koli je imel (pri Twitterju) dostop do dnevnika, je lahko bral gesla brez običajnega nadzora, saj je za ogled dnevnika potreben precej nižji "clearance" kot za zajem gesla "na žici" med.

@mb
Če bi bila gesla vidna na spletni strani magari kot skrito besedilo, verjemi, da bi to kdo opazil. Besedilo je skrito samo očem, ki gledajo v zaslon brez razhroščevalnih orodij. Milijoni računalnikov vsakodnevno prečesavajo vse mogoče, še najraje pa zanimive spletne strani; analizirajo spremembe oblike zapisa in hranijo najdene nize. Po taki objavi bi upravitelj takih naprav samo pogledal, kaj je na spletišču "twitter.com" postavljeno drugače kot običajno.
Ni TOKRATNI primer.
mb128
# 04.05.2018 ob 19:34
Rasta75
In potem so pač nekomu plačali.....
Sedaj pa kot oni kepten Bertoreli iz Alo Alo vat a mistejka i mejka!
Veš po moje se malo prevečkrat zgodijo ti, recimo jim, spodrsljaji.
Rasta75
# 04.05.2018 ob 18:34
Aja, še to, tipično access logi niso dosegljivi preko spleta in ima dostop do njih le omejeno število zaposlenih, v glavnem sistemski administratorji in backend razvijalci.
Rasta75
# 04.05.2018 ob 18:30
Penzl
Ja sem pozabil napisati, da se v bazo v bistvu shranjujejo hashi gesel - ki se za avtentikacijo uporabnika primerjajo s hashi gesel, ki jih ob prijavi vnesejo uporabniki - in ne gesla sama v plain textu. Tako da moja teza o debugging skripti zaradi tega odpade. Je pa eMZe navedel, da so se plaintext gesla menda nahajala v access logih, kar je sicer rahlo bizarno a povsem mogoče. V tem primeru pa gre dejansko za datoteko, ki se jo mirno lahko pobriše.
friks
# 04.05.2018 ob 15:06
Naključje ali...?
fiston
# 04.05.2018 ob 12:00
No recimo, da so zdaj celo to opazili. Koliko je pa stvari, ki jih ne opazijo. Po logiki bi bilo potem najbolje po vsaki uporabi zamenjati geslo.
Kazalo