Twitterは木曜日、最近コンピューターに不具合が発生し、一部のユーザーのパスワードが平文で流出したと発表した。今回のバグは完全に社内で発生したもので、同社は情報漏洩の証拠はないものの、ユーザーにパスワードの変更を推奨している。
CTO パラグ・アグラワル氏より:
Twitterアカウントのパスワードを設定する際、パスワードをマスキングする技術を使用しており、社内の誰にも見られないようにしています。最近、パスワードがマスキングされていない状態で内部ログに保存されるバグを確認しました。このバグは修正済みで、調査の結果、第三者による侵害や不正使用の兆候は確認されていません。
万全を期すため、このパスワードを使用しているすべてのサービスでパスワードの変更をご検討ください。Twitterのパスワードは、パスワード設定ページからいつでも変更できます。
このバグについてさらに詳しく説明します。
Twitterでは、bcryptと呼ばれる関数を用いたハッシュ化と呼ばれるプロセスでパスワードをマスキングしています。このプロセスでは、実際のパスワードをランダムな数字と文字の組み合わせに置き換え、Twitterのシステムに保存します。これにより、Twitterのシステムはパスワードを明かすことなくアカウントの認証情報を検証できます。これは業界標準です。
バグにより、ハッシュ化処理が完了する前にパスワードが内部ログに書き込まれていました。このエラーは弊社で確認し、該当のパスワードを削除しました。また、このバグが再発しないよう対策を講じています。
これは、オンラインアカウントのセキュリティがいかに重要かを改めて認識させてくれる良い例と言えるでしょう。パスワードは複雑なものにし、文字、数字、特殊文字を組み合わせ、複数のアカウントで同じパスワードを使い回さないようにし、2段階認証が利用できる場合は必ず使用しましょう。
出典: Twitter
