米ツイッターは3日、 保護されていない状態の パスワードを内部ログに保管するバグを発見したとして、 3億3600万人の ユーザーにパスワード変更を呼び掛けた。 ツイッターによれば、 問題は既に修復済みで、 パスワードが漏えいしたり不正利用されたりした形跡はないとしている。 ただ、 ユーザーに対してはパスワードの …
v 米ツイッターは3日、保護されていない状態のパスワードを内部ログに保管するバグを発見したとして、3億3600万人のユーザーにパスワード変更を呼び掛けた。
ツイッターによれば、問題は既に修復済みで、パスワードが漏えいしたり不正利用されたりした形跡はないとしている。ただ、ユーザーに対してはパスワードの更新を促し、同パスワードを利用した全てのサービスでの更新も検討するように呼び掛けている。
ツイッターは「ハッシュ化」と呼ばれる処理でユーザーのパスワードを保護している。ハッシュ化により、実際のパスワードがランダムに見える文字に置き換わる。ただ、今回発見されたバグでは、パスワードを平文の形で「内部ログ」に格納していた。
ツイッターは内部ログに格納されていたパスワードの数について具体的に言及していない。
バグが見つかった時期や保存期間、影響を受けたパスワードの数についても言及を避けた。ただ、CNNの取材に「漏えいではない」と強調した。
ツイッターはサイト上のポップアップウィンドウを通じて、ユーザーにパスワードの変更を要請。また、2段階認証の有効化やサービスごとに異なるパスワードの選択なども推奨している。
ジャック・ドーシー最高経営責任者(CEO)はツイッターで、「この内部の欠陥に関しオープンな姿勢を取ること」が重要だと説明。パラグ・アグラワル最高技術責任者(CTO)は今回の件について謝罪した。