Twitterは、過去数ヶ月間、全ユーザーのパスワードが公開状態になっていたと発表しました。つまり、この間に誰かが同社のサーバーに侵入した場合、全ユーザーの平文パスワードを閲覧できた可能性があるということです。
Twitterのバグ
通常、ユーザーのパスワードは暗号化され、「ハッシュ化」(暗号化アルゴリズムに基づいてランダムな文字列に変換)されます。これにより、データ侵害後に攻撃者が実際のパスワードを推測できなくなります。この技術を用いることで、サービスはパスワードを明かすことなくユーザーのログインを検証できます。ユーザーがテキストボックスに入力したパスワードがパスワードハッシュと一致するかどうかを暗号的に確認するだけで済むためです。
Twitterによると、ユーザーのパスワードがマスク解除されたのはバグによるもので、Twitterは独自に発見したとしている。しかし、Twitterの従業員がこれを発見したのは、GitHubが同様のソフトウェアの欠陥に遭遇した数日後のことだったようだ。
今週初め、GitHub は一部のユーザーに次のような内容のメールを送信しました。
定期監査の過程で、GitHub は、最近発生したバグにより、お客様を含む少数のユーザーのパスワードが内部ログ システムに公開されていることを発見しました。この件は修正されましたが、アカウントに再度アクセスするにはパスワードをリセットする必要があります。GitHub は、ユーザーのパスワードを安全な暗号化ハッシュ (bcrypt) を使用して保存します。しかし、この最近発生したバグにより、ユーザーがパスワードのリセットを開始したときに、安全な内部ログにプレーンテキストのユーザー パスワードが記録されました。ご安心ください。これらのパスワードは、いかなる時点でも一般の人々や他の GitHub ユーザーにアクセスできませんでした。また、大多数の GitHub スタッフもアクセスできず、GitHub スタッフがこれらのログにアクセスした可能性は非常に低いと判断しました。GitHub は意図的にパスワードをプレーンテキスト形式で保存していません。代わりに、最新の暗号化方法を使用して、パスワードが本番環境で安全に保存されるようにしています。なお、GitHub はハッキングされたり、侵害されたりしたことはありません。
今すぐパスワードを変更してください
Twitterは現在、パスワードが漏洩した際に誰かがパスワードを盗んだ可能性に備え、Twitterだけでなく、全く同じパスワードを使用している可能性のある他のサービスでもパスワードの変更をユーザーに呼びかけている。しかし、同社は最近のデータ漏洩の証拠は見つかっていないと述べている。
米国国立標準技術研究所(NIST)は安全性に問題があるとしてSMS認証の廃止を推奨していますが、Twitterは二要素認証とパスワードリセットの両方でSMS認証を使用しています。これは、悪意のある人物が通信事業者に偽装したり、通信事業者の基地局を相互接続するSS7システムをハッキングしたりすることで、誰のパスワードも盗み取られる可能性があることを意味します。Twitterユーザーには、パスワードリセット用のSMSコードを無効にしたり、U2FハードウェアトークンやGoogle Authenticator、Authyなどのアプリ認証システムといった二要素認証の代替手段を使用したりする選択肢が与えられていません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
