密碼明文存入 log？Twitter 程序員可能要被祭天了

據(jù)外媒報道，在發(fā)現(xiàn)內(nèi)部計算機(jī)系統(tǒng)存在安全漏洞，會把部分用戶的密碼存儲在空白文本中后，微型博客Twitter周四敦促全球超過3.3億用戶修改密碼。

Twitter表示，該公司已修復(fù)了這一漏洞，而且內(nèi)部調(diào)查未發(fā)現(xiàn)這些密碼被黑客偷盜，或者是被公司內(nèi)部人士誤用。不過即便是如此，“出于足夠的謹(jǐn)慎，”Twitter還是敦促所有用戶考慮修改密碼。

Twitter在周四發(fā)布的官方博客中并未透露究竟有多少用戶密碼受到影響。不過消息人士透露，受影響的用戶密碼數(shù)量“非常巨大”，而且此問題出現(xiàn)已有數(shù)月時間。該消息還稱，Twitter在幾周之前發(fā)現(xiàn)了這一漏洞，并向部分監(jiān)管機(jī)構(gòu)報告了此事。

Twitter發(fā)現(xiàn)內(nèi)部系統(tǒng)出現(xiàn)的安全漏洞能夠存儲用戶密碼之時，正值Equifax、Facebook和Uber等一系列安全事件發(fā)生之后，全球立法者和監(jiān)管部門開始對企業(yè)存儲和保護(hù)用戶數(shù)據(jù)進(jìn)行詳查之時。

歐盟的新隱私法規(guī)《通用數(shù)據(jù)保護(hù)條例》（GDPR）將于本月底生效。該條例要求服務(wù)商必須征得用戶同意，才能使用用戶的個人數(shù)據(jù)。也就是說，科技公司在歐洲必須非常明確地提醒用戶針對重要數(shù)據(jù)進(jìn)行權(quán)限設(shè)置，并且默認(rèn)隱私設(shè)置必須是共享內(nèi)容最小化的選項（默認(rèn)情況是不共享數(shù)據(jù)）。如果違反該條例，企業(yè)將會面臨重罰。

Twitter在博客中表示：“因?yàn)檫@個漏洞，在完成‘哈希過程’（the hashing process）之前，用戶密碼會被存儲在公司計算機(jī)系統(tǒng)的一個內(nèi)部日志中。我們自己發(fā)現(xiàn)了這一漏洞。在已刪除用戶密碼的同時，正部署措施預(yù)防這一漏洞再度出現(xiàn)?！盩witter在博客中還表示：“我們對發(fā)生的這一切感到非常抱歉?！卑凑誘witter的說法，用戶在輸入密碼登陸Twitter時，這些密碼先會通過加密被隨機(jī)組合的數(shù)字和字母組替代。但是因?yàn)檫@一漏洞，原始密碼都被存儲了下來。

Twitter建議用戶采取預(yù)防措施，確保他們的帳戶是安全的，包括更改密碼，并啟用Twitter的雙重身份驗(yàn)證服務(wù)，以防止帳戶被黑客劫持。

Twitter股價周四在紐交所常規(guī)交易中上漲0.12美元，漲幅為0.39%，報收于30.67美元。在隨后的盤后交易中，受此消息影響，Twitter股價下跌0.16美元，跌幅為0.52%，報收于30.51美元。過去52周，Twitter最低股價為15.67美元，最高股價為36.80美元。在連續(xù)兩個季度實(shí)現(xiàn)盈利之后，Twitter股價在今年的累計漲幅已達(dá)到27%，表現(xiàn)強(qiáng)于標(biāo)準(zhǔn)普爾500指數(shù)同期1.4%的跌幅。