Twitter 社は世界パスワードデーを記念して、3 億 3000 万人のユーザー全員に対し、ログイン認証情報が暗号化されずに内部ログファイルに残されているため変更する必要があることを通知した。
最高技術責任者のパラグ・アグラワル氏は水曜日、パスワードは通常は暗号化されて保存されるが、一部のソフトウェアによって少なくとも1つのログファイルにパスワードが平文で記録されていたことを社内チームが発見したと発表した。
衝撃的:ケンブリッジ・アナリティカ事件のきっかけを作ったアレクサンドル・コーガンもツイッターのデータを利用していた
続きを読む
「bcryptと呼ばれる関数を使ったハッシュ化と呼ばれるプロセスでパスワードをマスクします。このプロセスでは、実際のパスワードをTwitterのシステムに保存されているランダムな数字と文字の組み合わせに置き換えます。これにより、Twitterのシステムはパスワードを明かすことなくアカウントの認証情報を検証できます。これは業界標準です」とアグラワル氏は、機能していないセキュリティ機能について述べた。
「バグのため、ハッシュ処理が完了する前にパスワードが内部ログに書き込まれました。」
Twitter社は、この問題は自社のエンジニアによって社内で発見されたもので、今のところ社外の誰かがパスワードを収集するどころか、ファイルを閲覧することすらできる兆候はないということを強調している。
それでも、Twitter はアカウントを持つすべての人にパスワードを変更するようアドバイスしており、パスワードが再利用されている他のサイトでも同様のことを行うようにしています (ベストプラクティスとして、いずれにしてもパスワードを再利用すべきではありません)。
「このような事態が発生し、誠に申し訳ございません」とアグラワル氏は付け加えた。「皆様から寄せられた信頼を認識し、感謝しております。そして、その信頼に応えるべく、日々尽力してまいります。」
インターネットでは今日、世界パスワードデーを記念して、適切なパスワード管理方法と安全な保管方法の認識を高めている最中なので、今回の情報開示のタイミングはTwitterにとって特に厄介なものだ。
確かにこれはツイッターが求めていたタイプの露出ではなかった。特に同社はケンブリッジ・アナリティカのデータ収集スキャンダルを受けてユーザーデータの保護を強化しようとしているからだ。
$ git 非難
一方、GitHub も同様の失態を犯し、ユーザーのアカウントパスワードをプレーンテキストでログファイルにダンプしてしまった。
「定期監査の過程で、GitHubは最近発生したバグにより、あなたを含む少数のユーザーのパスワードが当社の内部ログシステムに公開されたことを発見しました」とGitHubはユーザーへのメールで述べた。
「この問題を修正しましたが、アカウントに再度アクセスするにはパスワードをリセットする必要があります。」
GitHubはユーザーのパスワードを安全な暗号ハッシュ(bcrypt)で保存しています。しかし、最近発生したこのバグにより、ユーザーがパスワードリセットを開始した際に、安全な内部ログにプレーンテキストのユーザーパスワードが記録されてしまいました。これらのパスワードは、一般ユーザーや他のGitHubユーザーがアクセスすることはできませんのでご安心ください。
さらに、これらのログはGitHubスタッフの大半がアクセスできない状態であり、GitHubスタッフがこれらのログにアクセスした可能性は極めて低いと判断しました。GitHubは意図的にパスワードを平文形式で保存することはありません。代わりに、最新の暗号化手法を用いて、本番環境でパスワードが安全に保管されるようにしています。なお、GitHubはハッキングや不正侵入の被害を受けていません。®
