Kurz notiert: Wie Twitter gestern mitgeteilt hat, wurde ein Fehler in einem internen Protokoll gefunden, der die Passwörter unmaskiert dargestellt hat. Der Fehler wurde inzwischen beseitigt. Es gab bisher noch keine Anzeichen für einen Verstoß oder Missbrauch durch irgendjemanden. Das ist schon einmal beruhigend.
Wer trotzdem auf Nummer sicher gehen will, sollte sein Passwort über die Einstellungen ändern. Sollte das Passwort auch woanders genutzt werden, dann zur Sicherheit auch dort. Wie der Fehler passieren konnte beschreibt @paraga im Twitterblog so:
Wir maskieren Passwörter durch einen Prozess namens Hashing mit einer Funktion namens bcrypt, die das eigentliche Passwort durch einen zufälligen Satz von Zahlen und Buchstaben ersetzt, die im System von Twitter gespeichert sind. Dies ermöglicht es unseren Systemen, Ihre Zugangsdaten zu überprüfen, ohne Ihr Passwort preiszugeben. Dies ist ein Industriestandard.
Aufgrund eines Fehlers wurden Passwörter in ein internes Protokoll geschrieben, bevor der Hash-Prozess abgeschlossen wurde. Wir haben diesen Fehler selbst gefunden, die Passwörter entfernt und implementieren Maßnahmen, um diesen Fehler zu verhindern.
Quelle: blog.twitter
Wie der passieren konnte beschreibt @paraga im Twitterblog so: <— Wie der, oder wie Das?
Passwörter unverschlüsselt? Und in ein internes Protokoll(!!!) schreiben!? WTF.
Damit haben die in jedem Fall gegen die üblichen Regeln der GDPR und EU-Datenschutz verstoßen.
Nach 10 Jahren ist denen dieser Fehler aufgefallen. Ein Fehler, den jeder halbwegs vernünftige Webdesigner & Admin ganz vermieden oder zu mindest viel früher mitbekommen hätte. Als ob Twitter die einzige Seite überhaupt ist, die PW´s in Datenbanken ablegt.
Ich könnte wetten, dass die erst nach einem Hack oder Hinweise darauf aufmerksam wurden. Aber natürlich wird das verschwiegen…
Wobei, wenn ich der verantwortliche Adim wäre, würde ich lieber sagen, wir wurden gehackt, als meine Unfähigkeit der Welt auf dem Tablett zu präsentieren
gepostet mit der Deskmodder.de-App
Ich hab´ mein Twitter-Passwort mal geändert, obwohl ich das nur dort nutze – aber man weiß ja nie…