2018/05/04

Twitter expõe 330 milhões de passwords


Confiar que um serviço será capaz de manter a password dos utilizadores em segurança é algo que é posto em causa a cada dia, e desta vez é o próprio Twitter que vem admitir um erro de principiante que poderá ter exposto as passwords de 330 milhões de utilizadores.

A única forma de manter as passwords seguras é não as guardar, e é isso que ditam as boas práticas de segurança para qualquer site ou serviços. Isso é conseguido à custa do hashing e do salting, que permite validar a password de um utilizador mesmo não a tendo guardada; e também o Twitter utiliza esta técnica. Então... o que aconteceu de errado?

Infelizmente, em vez de se limitar a guardar a hash das passwords, um erro no sistema estava a fazer com que a password original fosse também registada num log interno sem qualquer encriptação.



Embora o Twitter diga não ter qualquer indicação que tenha havido acessos indevidos a este log, está também a recomendar que todos os utilizadores mudem as suas passwords - e também noutros serviços onde eventualmente usem a mesma password (uma das coisas que absolutamente não devem fazer) ou passwords derivadas.

Todas as oportunidades são boas oportunidades para começarem a praticar as boas regras de segurança de usar passwords diferenciadas para cada site/serviço que utilizam, também autenticação 2-factor sempre que possível (coisa que o Twitter também permite). Pois, como fica demonstrado, há sempre o risco de que toda e qualquer password que coloquem na net... poderá ser exposta, mesmo por serviços que se pensariam não cometer erros de principiante.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]