Twitterやらかす!パスワード保存方法に問題があり全ユーザへパスワード変更要請
Facebookの個人情報流出&不正利用が明るみになってから久しいですが、今度はTwitterがやらかしてしまったようです。
なんと本来暗号化されて社内でも閲覧不可能なユーザパスワードが、なんと暗号化されずそのままの状態で保存されていた事が明らかになりました。
全ユーザへ変更呼びかけ
先日Twitterは、ユーザアカウントに紐づいているパスワードがバグにより暗号化されず、そのままの状態で保存されていた事を明らかにしました。
通常この暗号化処理で外部はもちろんTwitter社内部の人間でもパスワードを確認する事は不可能なのですが、入力されたそのままのパスワードが内部ログで発見され、発覚に至ったそうです。
We recently discovered a bug where account passwords were being written to an internal log before completing a masking/hashing process. We’ve fixed, see no indication of breach or misuse, and believe it’s important for us to be open about this internal defect. https://t.co/BJezo7Gk00
— jack (@jack) 2018年5月3日
Twitterのブログでも公式にバグの説明がされているものの、具体的な被害規模などは述べられておらず、現状全ユーザへパスワード変更の通知を行なった状態との事。
日本時間の5月4日以降にTwitterへアクセスすると、下記画像のような注意文が表示されるようになっており、任意ではありますがパスワード変更ページへ遷移するようになっています。
またTwitterではもしもの時のために2段階認証を推奨しており、パスワードだけ割れてもSMSのパスコードが無いとログインできないようにする事が奨められています。
ログイン認証は、Twitterの「設定とプライバシー」▶︎「アカウント」▶︎「セキュリティ」▶︎「ログイン認証」をオンにする事によって有効化可能。
設定ではSMSを受け取れる電話番号が必要になるので、求められたら最初の「0」を外して入力(090-1234-5678なら9012345678)し、「コードを送信」をタップ。
SMSに届いた6桁の認証コードを設定画面に入力する事で完了となり、今までアカウントにログインした事のない端末でログインしようとした場合、都度SMSでのコードが無いとアクセスできないようにできます。
Twitter側は今の所悪用の形跡は無いとしていますが、万が一のためにもパスワード変更と2段階認証の有効化を行なっておくのが無難でしょう。
まとめ
識者によればこの事件はかなり以前から発生しており、数ヶ月間放置された後にTwitterが数週間前に発見した、と説明されています。
一部では「バグではなく人為的なものでは無いのか?」といった声もあり、今後のTwitter側の説明や対応に注目が集まりそうです。
