マイキー・キャンベル
· 1分で読めます
Twitterは木曜日、3億3600万人のユーザーに対しパスワードの変更を推奨するセキュリティ警告を発した。これは、一部のコードが内部ログに保護されていない状態で保存される原因となったと思われるバグによるものだ。
同社は公式ブログへの投稿とTwitterサポートからのツイートでこの問題を明らかにした。CEOのジャック・ドーシー氏とTwitterの公式アカウントは、Twitterサポートのメッセージが公開された直後にリツイートし、CTOのパラグ・アグラワル氏は謝罪のツイートを投稿した。
詳細は不明ですが、Twitterによると、最近発見されたバグにより、ユーザーのパスワードがbcryptと呼ばれるハッシュ化プロセスによって保護(マスク)されることなく、内部ログに保存される可能性があるとのことです。業界標準のセキュリティプロトコルはパスコードをランダムな数字と文字に置き換えますが、この脆弱性が存在しなかったことから、Twitterはパスワードを平文で記録していたことが示唆されます。
Twitter社はその後この不具合を修正し、今後同様の事件が起きないよう安全策の導入に取り組んでいる。
「我々は修正を済ませており、違反や不正使用の兆候は見当たらない。この内部欠陥についてオープンにしておくことが重要だと考えている」とドーシー氏はツイートした。
このバグがどれくらいの期間検知されずに放置されていたか、また、この不具合の影響を受けたパスワードの数は不明ですが、同社は機密情報が社内サーバーから漏洩したり、悪意のある第三者に盗まれたりしたとは考えていません。ロイター通信によると、事情に詳しい関係者は、このバグの影響を受けたパスワードの数は「相当な数」であり、情報は「数ヶ月間」漏洩していたと述べています。関係者によると、Twitterは数週間前にバグが発見された時点で、規制当局に報告し始めたとのことです。
Twitterは予防措置として、ユーザーに対し、Twitterのパスワードと、同じコードが使用された他のサービスのパスワードをリセットするよう呼びかけています。また、二段階認証とパスワードマネージャーの使用も推奨しています。
本日の暴露を受けて、サービスのホームページにアクセスした一部のユーザーには、問題の通知と、パスワードを更新できるシステム設定への直接リンクを含むポップアップ メッセージが表示されている。
Twitterのパスワード問題自体はセキュリティ侵害ではありませんが、ユーザーデータ保護を担うテクノロジー企業による、注目を集める一連の失態に加わるものです。多くの場合、ハッカーは個人情報を盗み出すために、これらのサービスを標的とします。例えば、3月にはMyFitnessPalが情報漏洩に見舞われ、約1億5000万件のアカウントのユーザー名、メールアドレス、パスワードが流出しました。
