“近期他们辨认出了一个在外部笔记中留存采用者公钥的流程恶意软件。他们已复原了该恶意软件,仍未辨认出该恶意软件被其他人泄漏或误用的征兆。但作为防范措施,请考虑更动您采用原有帐户公钥的所有伺服器公钥。”
“twitter”自曝安全可靠恶意软件,提议3.36亿采用者修正帐号公钥。数据资料图该地时间5月3日晚,SNS中文网站“twitter”在其非官方帐号中发布了前述重要信息,呼吁其3.36亿采用者更动公钥。当采用者登入“twitter”看到插入的安全可靠提示信息时,可点选镜像直接重定向至“密码抹除”网页。美联社(CNN)MD224CH从而提出,倘若采用者在Facebook、银行帐户等电子零件帐号中采用了同样的公钥,也应尽快作出修正。
据美国全国广播子公司(CBS)3日报导,出现问题的是“twitter”的公钥杂凑。通常情况下,“twitter”的采用者公钥等脆弱重要信息应被“打乱”后存储在其外部伺服器上,比如,如果一位采用者以“123456”为公钥,其在“twitter”伺服器的数据资料库中不会显示为“123456”,而是应以这种位数与拉丁字母的乱数女团方式被存储。这样可以在不外泄采用者公钥的情况下校正采用者的登入重要信息,是一类行业内的规范化作法。
但“twitter”在一篇新闻稿中宣称,该子公司采用了一类名叫“bcrypt”的基元演算法存储身份校正采用者公钥,但是“由于某一恶意软件”,在完成杂凑身份校正之前,采用者公钥被以纯文档方式存储起来。“twitter”方面仍未明言前述“恶意软件”具体是什么。
“他们自己辨认出了那个严重错误,删掉了文档公钥,并正在采取行动防止那个严重错误悲剧重演。”“twitter”执行官信息技术官达卡比德表示。
“twitter”子公司亦没有说明何时能辨认出了前述严重错误。
美国著名信息技术博客中文网站Techcrunch指出,对于“twitter”这样规模的企业而言,犯下如此基础的重要信息安全可靠严重错误是不同寻常的。但这也是一个契机,推动采用者将帐号公钥安全可靠掌握在自己手中,采用者可以选择双重身份校正或利用LastPass、1Password之类的帐号公钥管理软件工具,以确保即便平台出现安全可靠恶意软件时,自己的帐号也不会受到威胁。