米Twitterは5月2日(現地時間)、全ユーザーに対し、Twitterへのログインに使っているパスワードを変更するよう求める告知を送ったと発表した。社内システムのバグで、パスワードをプレーンテキストで保存していたことが判明したためとしている。
社内調査の結果、パスワードが外部に流出したり悪用された可能性はないが、念のため全ユーザーに通知したとしている。ジャック・ドーシーCEOは「対策済み」だとツイートした。
パラグ・アグラワルCTO(最高技術責任者)は公式ブログで、同社ではユーザーがパスワードを入力する際、「bcrypt」という強力なアルゴリズムを使ってハッシュ化しているが、今回見つかったバグで、ハッシュ化処理の前にログにプレーンテキストで保存されていたという。
何人分のパスワードがテキストとして保存されていたのか、それがいつ頃からのことなのかについては明らかにしていない。
米Reutersに「この件に詳しい人物」が語ったところによると、保存されていたパスワードはかなりの数で、数カ月そのままだったという。この人物によると、Twitterは数週間前にこれを発見し、当局に報告していたという。
関連記事
- 「パスワードだけ」は危険? Googleアカウントの防御力を上げる方法
私たちが頻繁に使う「Googleマップ」や「Gmail」などの機能。さまざまな情報とひも付くGoogleアカウントの管理は特に気を付けましょう。 - Twitter、2段階認証でサードパーティアプリの利用を可能に
Twitterの「ログイン認証」で、「Google認証システム」などのサードパーティアプリを使えるようになる。ログインのたびにショートメッセージを受信しなくて済む。 - Twitter、パスワードが流出したユーザーのアカウントを凍結
パスワードが露呈したTwitterアカウントは凍結する措置を取り、アカウント保持者にパスワードのリセットを求めているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.