Twitterは現地時間5月3日、ユーザーのパスワードが暗号化されないまま処理されるという不具合があったことを発表、Twitterの全利用者3億3,000万人に対して、パスワードを変更するよう呼びかけています。
パスワードの流出は確認されていない
Twitterでは利用者のパスワードを自社の内部システムに保管する際、ランダムの数字と文字を組み合わせて置き換える「bcrypt」というアルゴリズムを用いて、暗号化する仕組みを採用しています。
これによりユーザーのパスワードは、通常、外部からはもちろんのこと、社内でも閲覧ができないように保護されているのですが、今回発見されたバグでは暗号化する際のプロセスに不具合があり、パスワードがそのままの状態で保管されていたとのことです。
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 2018年5月3日
Twitterは自社アカウントで「バグの修正はすでに完了している。また内部関係者がパスワードを盗んだり、外部に流出しているといった兆候などは見つかっていない」と説明していますが、念のためパスワードを変更するよう、すべてのユーザーに促しています。
今回のバグにより、何件のパスワードが、どれだけの期間に渡って保護されていない状態だったのかは明かされていません。ただ関係者によると「相当数のパスワードが数カ月間に渡って保護されていない状態だった」とのことです。
Source:Twitter via 日本経済新聞,REUTERS
(kotobaya)