Confiar que um serviço será capaz de manter a password dos utilizadores em segurança é algo que é posto em causa a cada dia, e desta vez é o próprio Twitter que vem admitir um erro de principiante que poderá ter exposto as passwords de 330 milhões de utilizadores.
A única forma de manter as passwords seguras é não as guardar, e é isso que ditam as boas práticas de segurança para qualquer site ou serviços. Isso é conseguido à custa do hashing e do salting, que permite validar a password de um utilizador mesmo não a tendo guardada; e também o Twitter utiliza esta técnica. Então... o que aconteceu de errado?
Infelizmente, em vez de se limitar a guardar a hash das passwords, um erro no sistema estava a fazer com que a password original fosse também registada num log interno sem qualquer encriptação.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ— Twitter Support (@TwitterSupport) May 3, 2018
Embora o Twitter diga não ter qualquer indicação que tenha havido acessos indevidos a este log, está também a recomendar que todos os utilizadores mudem as suas passwords - e também noutros serviços onde eventualmente usem a mesma password (uma das coisas que absolutamente não devem fazer) ou passwords derivadas.
Todas as oportunidades são boas oportunidades para começarem a praticar as boas regras de segurança de usar passwords diferenciadas para cada site/serviço que utilizam, também autenticação 2-factor sempre que possível (coisa que o Twitter também permite). Pois, como fica demonstrado, há sempre o risco de que toda e qualquer password que coloquem na net... poderá ser exposta, mesmo por serviços que se pensariam não cometer erros de principiante.
Sem comentários:
Enviar um comentário (problemas a comentar?)