วันนี้ (5 พ.ค.) Twitter ส่งอีเมลถึงผู้ใช้งานทุกคน แจ้งว่าบริษัทได้ตรวจสอบพบ bug การทำงานภายใน ทำการบันทึก password เก็บไว้ใน log การทำงานของระบบ แบบไม่ได้เข้ารหัส
สำหรับเนื้อหาในอีเมลจาก Twitter มีดังนี้...
สวัสดี @username
เมื่อคุณตั้งค่ารหัสผ่านสำหรับบัญชีทวิตเตอร์ เราจะใช้เทคโนโลยีที่ช่วยปกปิดรหัสผ่านเพื่อไม่ให้ผู้ใดที่บริษัทมองเห็นได้ เราเพิ่งพบข้อบกพร่องที่แสดงให้เห็นว่ารหัสผ่านที่จัดเก็บไว้ถูกเปิดเผยอยู่ในบันทึกภายใน เราได้แก้ไขข้อบกพร่องดังกล่าวแล้ว และจากการตรวจสอบของเราไม่พบสัญญาณบ่งชี้ว่ามีผู้ใดฝ่าฝืนหรือใช้ในทางที่ผิด
เพื่อเป็นการระมัดระวังด้านความปลอดภัย เราขอให้คุณพิจารณาถึงการเปลี่ยนรหัสผ่านสำหรับทุกบริการที่คุณใช้รหัสผ่านนี้ คุณสามารถเปลี่ยนรหัสผ่านของทวิตเตอร์ได้ทุกเมื่อโดยไปที่หน้าการตั้งค่ารหัสผ่าน
เกี่ยวกับข้อบกพร่อง
เราปกปิดรหัสผ่านด้วยกระบวนการที่เรียกว่าแฮชชิงโดยใช้ฟังก์ชันที่เรียกว่า bcrypt ซึ่งใช้แทนรหัสผ่านที่แท้จริงด้วยชุดตัวเลขและตัวอักษรแบบสุ่มที่จัดเก็บอยู่ในระบบของทวิตเตอร์ ส่วนนี้จะอนุญาตให้ระบบตรวจสอบข้อมูลประจำตัวบัญชีของคุณโดยไม่เปิดเผยรหัสผ่านของคุณ นี่คือมาตรฐานอุตสาหกรรม
สืบเนื่องจากข้อบกพร่อง รหัสผ่านได้ถูกเขียนลงในบันทึกภายในก่อนที่จะเสร็จสิ้นกระบวนการแฮชชิง เราพบข้อผิดพลาดนี้ด้วยตัวเอง และได้ลบรหัสผ่าน พร้อมทั้งดำเนินแผนการต่างๆ เพื่อป้องกันมิให้ข้อบกพร่องนี้เกิดขึ้นอีก
เคล็ดลับการรักษาความปลอดภัยของบัญชี
นอกจากนี้ แม้ว่าเราจะไม่มีเหตุผลใดๆ ที่ทำให้เชื่อได้ว่ามีข้อมูลรหัสผ่านรั่วไหลออกจากระบบของทวิตเตอร์ หรือมีผู้ใดใช้ในทางที่ผิด แต่เรามีขั้นตอนเล็กๆ น้อยๆ ที่คุณสามารถทำได้เพื่อช่วยให้บัญชีของคุณปลอดภัย ดังนี้
- เปลี่ยนรหัสผ่านของคุณบนทวิตเตอร์และบริการอื่นใดที่คุณอาจใช้รหัสผ่านเดียวกันนี้
- ใช้รหัสผ่านที่คาดเดาได้ยากและไม่ได้ใช้ซ้ำกับบริการอื่นๆ
- เปิดใช้การยืนยันการเข้าสู่ระบบ หรือที่เรียกว่าการยืนยันตัวตนสองขั้นตอน นี่คือการดำเนินการที่ดีที่สุดอย่างเดียวที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยให้กับบัญชีของคุณ
- ใช้ระบบจัดการรหัสผ่านเพื่อให้แน่ใจว่าคุณได้ใช้รหัสผ่านที่คาดเดาได้ยากและไม่ซ้ำกันในทุกๆ ที่
เราขออภัยเป็นอย่างยิ่งสำหรับเรื่องที่เกิดขึ้น เรารับรู้และขอขอบคุณสำหรับความไว้วางใจที่คุณมีให้เรา และเรามุ่งมั่นที่จะได้รับความไว้วางใจในทุกๆ วัน
ทีมทวิตเตอร์
สำหรับผู้ใช้งาน Twitter ทุกคน ควรเปลี่ยนรหัสผ่านทันทีที่ทำได้ และไม่ควรใช้รหัสผ่านเดียวกันนี้กับบริการอื่นๆ
