Twitter ประกาศ ให้ทุกคนเปลี่ยนรหัสผ่านทันที หลังตรวจสอบพบ bug บันทึก password แบบไม่เข้ารหัสใน log การทำงาน

วันนี้ (5 พ.ค.) Twitter ส่งอีเมลถึงผู้ใช้งานทุกคน แจ้งว่าบริษัทได้ตรวจสอบพบ bug การทำงานภายใน ทำการบันทึก password เก็บไว้ใน log การทำงานของระบบ แบบไม่ได้เข้ารหัส

สำหรับเนื้อหาในอีเมลจาก Twitter มีดังนี้...

สวัสดี @username

เมื่อคุณตั้งค่ารหัสผ่านสำหรับบัญชีทวิตเตอร์ เราจะใช้เทคโนโลยีที่ช่วยปกปิดรหัสผ่านเพื่อไม่ให้ผู้ใดที่บริษัทมองเห็นได้ เราเพิ่งพบข้อบกพร่องที่แสดงให้เห็นว่ารหัสผ่านที่จัดเก็บไว้ถูกเปิดเผยอยู่ในบันทึกภายใน เราได้แก้ไขข้อบกพร่องดังกล่าวแล้ว และจากการตรวจสอบของเราไม่พบสัญญาณบ่งชี้ว่ามีผู้ใดฝ่าฝืนหรือใช้ในทางที่ผิด

เพื่อเป็นการระมัดระวังด้านความปลอดภัย เราขอให้คุณพิจารณาถึงการเปลี่ยนรหัสผ่านสำหรับทุกบริการที่คุณใช้รหัสผ่านนี้ คุณสามารถเปลี่ยนรหัสผ่านของทวิตเตอร์ได้ทุกเมื่อโดยไปที่หน้าการตั้งค่ารหัสผ่าน

เกี่ยวกับข้อบกพร่อง

เราปกปิดรหัสผ่านด้วยกระบวนการที่เรียกว่าแฮชชิงโดยใช้ฟังก์ชันที่เรียกว่า bcrypt ซึ่งใช้แทนรหัสผ่านที่แท้จริงด้วยชุดตัวเลขและตัวอักษรแบบสุ่มที่จัดเก็บอยู่ในระบบของทวิตเตอร์ ส่วนนี้จะอนุญาตให้ระบบตรวจสอบข้อมูลประจำตัวบัญชีของคุณโดยไม่เปิดเผยรหัสผ่านของคุณ นี่คือมาตรฐานอุตสาหกรรม

สืบเนื่องจากข้อบกพร่อง รหัสผ่านได้ถูกเขียนลงในบันทึกภายในก่อนที่จะเสร็จสิ้นกระบวนการแฮชชิง เราพบข้อผิดพลาดนี้ด้วยตัวเอง และได้ลบรหัสผ่าน พร้อมทั้งดำเนินแผนการต่างๆ เพื่อป้องกันมิให้ข้อบกพร่องนี้เกิดขึ้นอีก

เคล็ดลับการรักษาความปลอดภัยของบัญชี

นอกจากนี้ แม้ว่าเราจะไม่มีเหตุผลใดๆ ที่ทำให้เชื่อได้ว่ามีข้อมูลรหัสผ่านรั่วไหลออกจากระบบของทวิตเตอร์ หรือมีผู้ใดใช้ในทางที่ผิด แต่เรามีขั้นตอนเล็กๆ น้อยๆ ที่คุณสามารถทำได้เพื่อช่วยให้บัญชีของคุณปลอดภัย ดังนี้

  1. เปลี่ยนรหัสผ่านของคุณบนทวิตเตอร์และบริการอื่นใดที่คุณอาจใช้รหัสผ่านเดียวกันนี้
  2. ใช้รหัสผ่านที่คาดเดาได้ยากและไม่ได้ใช้ซ้ำกับบริการอื่นๆ
  3. เปิดใช้การยืนยันการเข้าสู่ระบบ หรือที่เรียกว่าการยืนยันตัวตนสองขั้นตอน นี่คือการดำเนินการที่ดีที่สุดอย่างเดียวที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยให้กับบัญชีของคุณ
  4. ใช้ระบบจัดการรหัสผ่านเพื่อให้แน่ใจว่าคุณได้ใช้รหัสผ่านที่คาดเดาได้ยากและไม่ซ้ำกันในทุกๆ ที่

เราขออภัยเป็นอย่างยิ่งสำหรับเรื่องที่เกิดขึ้น เรารับรู้และขอขอบคุณสำหรับความไว้วางใจที่คุณมีให้เรา และเรามุ่งมั่นที่จะได้รับความไว้วางใจในทุกๆ วัน

ทีมทวิตเตอร์

สำหรับผู้ใช้งาน Twitter ทุกคน ควรเปลี่ยนรหัสผ่านทันทีที่ทำได้ และไม่ควรใช้รหัสผ่านเดียวกันนี้กับบริการอื่นๆ