ifun.de — Apple News seit 2001. 37 887 Artikel

"we didn't have to"

Twitter fordert Nutzer zur Passwort-Änderung auf

Artikel auf Mastodon teilen.
10 Kommentare 10

Der Kurznachrichten-Dienst Twitter hat seine Nutzer dazu aufgerufen, die persönlichen Account-Passwörter zu ändern bzw. durch ein neues Passwort zu ersetzen. Der Grund für die im Hausblog kommunizierte Sicherheitsmaßnahme sei ein Bug, der bei einer internen Überprüfung festgestellt wurde.

Twitter 500

Demnach seien Nutzer-Passwörter in den zurückliegenden Monaten im Klartext auf den Servern des 280-Zeichen-Dienstes gespeichert worden, dies wiederum hätte Mitarbeitern des Unternehmens die Möglichkeit eingeräumt entsprechende Account-Details einzusehen.

Wir haben kürzlich einen Fehler entdeckt, bei dem Passwörter in einem internen Protokoll im Klartext gespeichert wurden. Wir haben den Fehler behoben, und unsere Untersuchung zeigt keinen Hinweis auf eine Verletzung oder einen Missbrauch durch Dritte. Aus größter Vorsicht bitten wir Sie dennoch ihr Passwort für alle Dienste zu ändern, bei denen Sie dieses Passwort verwendet haben. Sie können Ihr Twitter-Passwort jederzeit ändern, indem Sie auf die Seite für die Passworteinstellungen gehen.

Flankiert wurde die Sicherheitswarnung Blog-Eintrag von einem Tweet des Twitter-CTO Parag Agrawal. Dieser unterstreicht, dass Twitter nicht in der Pflicht gestanden hätte, überhaupt auf die Sicherheitslücke aufmerksam zu machen, sich aber dennoch für den Schritt entschieden hätte, um „das Richtige zu tun“. Eine Aussage, die Agrawal inzwischen zumindest relativiert hat.

We are sharing this information to help people make an informed decision about their account security. We didn’t have to, but believe it’s the right thing to do.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
04. Mai 2018 um 07:58 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    10 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Man lernt doch schon im Sicherheitsgrundkurs, dass Passwörter niemals irgendwo im Klartext auftauchen dürfen. Wieso ist das so oft noch gängige Praxis?

  • Ich frage, in was für einem Protokoll. Twitter dürfte ja nur im Moment des Login (und Registrierung) Zugriff auf das PW im Klartext haben. Bei einem fehlerhaften Anmeldeversuch wird nur ein falsches PW geloggt, bei erfolgreichem Einloggen gibt es (aus meiner Sicht) keinen Grund das Passwort (Klartext oder als Hash) zu loggen.

    • Irgendwo muss das System ja wissen, wie Benutzer und Passwort ist. Ob es nun im Klartext da steht oder nicht.
      Im Text steht, das es ein bug war. Sowas kann immer mal passieren.. nur weil es Twitter, Facebook oder Apple sind, heißt es nicht, das die unfehlbar sind.
      Solche bugs können immer aus den kuriosesten Konstellationen entstehen und auch, wenn man eine Änderung an einem anderen System vornimmt, was mit diesem Thema vielleicht nur sehr wenig zu tun hat.
      Jeder, der mal programmiert hat weiß, das dies leider immer sehr schnell passiert und manchmal erst sehr spät gefunden und dann auch schwer zu fixen ist.
      Bin kein Profi, aber ich hatte in meinen kleinen Tools auch schon Probleme, wo ich Wochen lang dran gesessen habe

    • Aus der Mail:

      «Wir maskieren Passwörter durch einen Prozess namens Hashing mit einer Funktion namens bcrypt. […] Dies ist ein Industriestandard.

      Aufgrund eines Fehlers wurden Passwörter in ein internes Protokoll geschrieben, _bevor_ der Hash-Prozess abgeschlossen wurde. Wir haben diesen Fehler selbst gefunden, die Passwörter entfernt und Maßnahmen umgesetzt, um diesen Fehler zukünftig zu verhindern.»

      Es gäbe keinen Hinweis auf Missbrauch, dennoch rieten sie zu einem PW-Wechsel inkl. Umstellung auf 2FA, soweit noch nicht geschehen.

      Finde ich soweit sehr transparent und völlig okay.

  • Stellt euch mal vor so etwas wäre Facebook passiert. Über 200 Hass-Kommengtare garantiert. :D

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37887 Artikel in den vergangenen 8193 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven