Twitter แจ้งผู้ใช้งาน 330 ล้านคนทั่วโลกเปลี่ยนรหัสผ่าน หลังพบรหัสผ่านแบบ Plaintext ถูกเก็บในระบบ Log

Twitter ได้แจ้งให้ผู้ใช้งานทั่วโลก 330 ล้านรายทำการเปลี่ยนรหัสผ่านของตนเอง หลังจากที่ Twitter มีการค้นพบว่าระบบ Internal Log ภายใน Twitter นั้นมีการจัดเก็บข้อมูลรหัสผ่านของผู้ใช้งานทุกคนในแบบ Plaintext อยู่

 

Credit: Twitter

 

ใน Blog ของ Twitter ที่ https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html ทาง Parag Agrawal ผู้ดำรงตำแหน่ง CTO แห่ง Twitter ได้ออกมาเล่าถึงรายละเอียดในครั้งนี้ว่าโดยปกติในระบบของ Twitter นั้นจะมีการใช้ bcrypt ทำการ Hash รหัสผ่านอยู่แล้ว ทำให้ในการนำรหัสผ่านเหล่านั้นมาใช้งานมีความปลอดภัยมากขึ้น

แต่ทาง Twitter ก็รายงานว่ามีการพบบั๊กในระบบของ Twitter ที่ทำให้มีการเก็บรหัสผ่านภายในระบบ Internal Log แบบ Plaintext ก่อนที่จะมีการทำ Hash ด้วย bcrypt ซึ่งทาง Twitter เป็นคนพบประเด็นปัญหานี้เอง และปัจจุบันได้ทำการลบข้อมูลรหัสผ่านออกจากระบบ Log แล้ว รวมถึงกำลังมีการจัดทำแผนเพื่อป้องกันไม่ให้เกิดปัญหาในลักษณะเดียวกันนี้อีกในอนาคต

ตอนนี้ทาง Twitter ยังไม่พบหลักฐานใดๆ ว่ามีการนำข้อมูลรหัสผ่านเหล่านี้ไปใช้งาน แต่ทาง Twitter เองก็ออกมาแนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านของ Twitter ที่ https://mobile.twitter.com/settings/password/ และเปลี่ยนรหัสผ่านบนระบบอื่นๆ ที่ใช้ Username/Password เดียวกันให้เรียบร้อย โดยควรตั้งรหัสผ่านให้แข็งแกร่ง และเปิดใช้ระบบ Login Verification หรือ Two-factor Authentication ให้เรียบร้อย และยังแนะนำให้ใช้ระบบ Password Manager ด้วย

สำหรับเหล่าผู้ดูแลระบบทั้งหลาย ก็อย่าลืมไปตรวจสอบระบบ Log ของตนเองกันด้วยนะครับว่ามีข้อมูล Sensitive ใดถูกเก็บอยู่โดยคาดไม่ถึงกันบ้างหรือเปล่า

 

ที่มา: https://www.theregister.co.uk/2018/05/03/twitter_no_big_deal_but_everyone_needs_to_change_their_password_right_now/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …