Twitter แจ้งผู้ใช้งาน 330 ล้านคนทั่วโลกเปลี่ยนรหัสผ่าน หลังพบรหัสผ่านแบบ Plaintext ถูกเก็บในระบบ Log

Twitter ได้แจ้งให้ผู้ใช้งานทั่วโลก 330 ล้านรายทำการเปลี่ยนรหัสผ่านของตนเอง หลังจากที่ Twitter มีการค้นพบว่าระบบ Internal Log ภายใน Twitter นั้นมีการจัดเก็บข้อมูลรหัสผ่านของผู้ใช้งานทุกคนในแบบ Plaintext อยู่

ใน Blog ของ Twitter ที่ https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html ทาง Parag Agrawal ผู้ดำรงตำแหน่ง CTO แห่ง Twitter ได้ออกมาเล่าถึงรายละเอียดในครั้งนี้ว่าโดยปกติในระบบของ Twitter นั้นจะมีการใช้ bcrypt ทำการ Hash รหัสผ่านอยู่แล้ว ทำให้ในการนำรหัสผ่านเหล่านั้นมาใช้งานมีความปลอดภัยมากขึ้น

แต่ทาง Twitter ก็รายงานว่ามีการพบบั๊กในระบบของ Twitter ที่ทำให้มีการเก็บรหัสผ่านภายในระบบ Internal Log แบบ Plaintext ก่อนที่จะมีการทำ Hash ด้วย bcrypt ซึ่งทาง Twitter เป็นคนพบประเด็นปัญหานี้เอง และปัจจุบันได้ทำการลบข้อมูลรหัสผ่านออกจากระบบ Log แล้ว รวมถึงกำลังมีการจัดทำแผนเพื่อป้องกันไม่ให้เกิดปัญหาในลักษณะเดียวกันนี้อีกในอนาคต

ตอนนี้ทาง Twitter ยังไม่พบหลักฐานใดๆ ว่ามีการนำข้อมูลรหัสผ่านเหล่านี้ไปใช้งาน แต่ทาง Twitter เองก็ออกมาแนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านของ Twitter ที่ https://mobile.twitter.com/settings/password/ และเปลี่ยนรหัสผ่านบนระบบอื่นๆ ที่ใช้ Username/Password เดียวกันให้เรียบร้อย โดยควรตั้งรหัสผ่านให้แข็งแกร่ง และเปิดใช้ระบบ Login Verification หรือ Two-factor Authentication ให้เรียบร้อย และยังแนะนำให้ใช้ระบบ Password Manager ด้วย

สำหรับเหล่าผู้ดูแลระบบทั้งหลาย ก็อย่าลืมไปตรวจสอบระบบ Log ของตนเองกันด้วยนะครับว่ามีข้อมูล Sensitive ใดถูกเก็บอยู่โดยคาดไม่ถึงกันบ้างหรือเปล่า

ที่มา: https://www.theregister.co.uk/2018/05/03/twitter_no_big_deal_but_everyone_needs_to_change_their_password_right_now/