之前拾捌堂談論過 LinkedIn 近期出現的網上保安事故,今次到 Twitter 出問題了。
2018 年 5 月 3 日,Twitter 在他們的官方頻道 Twitter Support 中發文,指他們發現用戶密碼在寫入系統及加密之前,有機會因他們所發現的漏洞而外洩。不過,他們宣稱已復修其漏洞,並認為未有任何駭客曾經「使用」過此漏洞的跡象。可是,為安全起見,Twitter 仍然呼籲全球 3 億 3 千萬用家更改密碼,以策安全。
Twitter CEO Jack Dorsey 亦發文,內容大致相同,並坦言公開此事,對 Twitter 尤為重要。而 Twitter 的技術總監 (Chief Technology Officer,CTO) Parag Agrawa 在他的 Twitter 博客上公開向用戶致歉。
今次主要問題發生於 Hashing (雜湊) 的過程之中:簡單來說,Hashing 用以加密個人密碼,以演算法將密碼「改頭換面/Masked」,之後才被儲存,這就令駭客無法簡單直接的取得個人密碼;但事件中,因為漏洞出現,個人密碼未完成 Hashing 程序就直接儲存起來,保安效能因而大大降低。
不幸的是,Twitter 未有發表有多少用戶在是次事件中受影響,並有傳此事件在數月之前已經發生,而 Twitter 只在數周之前發現漏洞。
幸而香港未有太多朋友使用 Twitter,但如讀者有 Twitter Account 的話,拾捌堂就勸喻大家,快快把密碼更改吧。但如何想要擁有高度私隱的APP,不妨考慮 Telegram 吧!
編輯推薦:
