Twitter hesaplarının şifreleri bir hata nedeniyle güvensiz bir şekilde depolandığı için kullanıcıların şifreleri tehlike altına girdi.
ABD’li sosyal medya şirketi Twitter, ağda tespit edilen bir aksaklık nedeniyle kullanıcı şifrelerinin maskelemeden depolandığını belirterek, kullanıcılarından şifrelerini değiştirmelerini istedi.
330 milyondan fazla kullanıcı hesabı olan dünyanın en büyük sosyal medya sitelerinden biri olan Twitter, kullanıcılarından ivedi bir şekilde şifresilerini değiştirmesini istedi. Sistemde bulunan bir “böcek” nedeniyle kullanıcı şifrelerin maskelenmeden depolandığını ve bu durumun çeşitli sorunlara yol açabileceği uyarısında bulunan Twitter, “Şifreleri, bcrypt fonksiyonu kullanarak, hashing olarak bilinen bir işlem ile maskeliyoruz. Bu yöntem kullanıcının şifresini gelişigüzel numaralar ve harflerle değiştirerek Twitter’ın sisteminde depoluyor. Bu yöntem, sistemlerimizin şifrenizi göstermeden hesap bilgilerinizi doğrulamasına olanak tanıyor. Endüstrinin standardı budur.” şeklinde açıklandı.
Bu şifreleme standartının sistemde bulunan bir hataya bağlı olarak, dahili giriş alanına yazılan şifrelerin hashing işleminin tamamlanmadığı ortaya çıktı ve düzeltildi. Herhangi bir bilgi çalınma izine rastlanmadı fakat önlem olarak, “Twiiter şifrenizi ve bu şifreyi kullandığınız diğer servislerdeki şifrenizi değiştirdiğinizde emin olun.” şeklinde uyarıda bulunuldu.
Uyarı açıklamasının tam metni şu şekilde:
Merhaba, ****
Twitter hesabın için şifre belirlediğinde, şirketteki kimsenin görmemesi için bir maskeleme teknolojisi kullanırız. Geçtiğimiz günlerde, şifreleri maskelenmemiş olarak dahili günlükte saklayan bir hata belirledik. Hatayı düzelttik ve araştırmalarımıza göre herhangi biri tarafından bir ihlal veya kötüye kullanım söz konusu değil.
En kötü ihtimali düşünerek, bu şifreyi kullandığın tüm hizmetlerde şifreni değiştirmeni rica ediyoruz. Dilediğin zaman şifre ayarları sayfasına giderek Twitter şifreni değiştirebilirsin.
Hata Hakkında
Mevcut şifreyi Twitter sisteminde kayıtlı rastgele rakam ve harf setiyle değiştiren, bcrypt olarak bilinen, karma işlevini kullanarak şifreleri maskeliyoruz. Bu sayede sistemlerimiz şifreni ortaya çıkarmadan hesap kimlik bilgilerini doğrular. Bu bir endüstri standardıdır.
Sistemdeki bir hata nedeniyle, karma işlevi tamamlanmadan şifreler dahili günlüğe yazılmış. Bu hatayı biz bulduk, şifreleri kaldırdık ve bu hatanın tekrarlanmaması için bazı planlar uyguluyoruz.
Hesap Güvenliği İpuçları
Şifre bilgilerinin Twitter’ın sistemlerinde kaldığını veya biri tarafından kötüye kullanıldığını düşünmemiz için bir neden olmasa da hesabını güvende tutmamıza yardımcı olmak için alabileceğin birkaç önlem var:
- Twitter’da ve aynı şifreyi kullanmış olabileceğin diğer hizmetlerde şifreni değiştir.
- Diğer hizmetlerde yeniden kullanmayacağın güçlü bir şifre belirle.
- İki öğeli kimlik doğrulama olarak da bilinen giriş onaylamasını etkinleştir. Bu, hesap güvenliğini arttırmak için alabileceğin en iyi önlem.
- Şifre yöneticisi kullanarak her yerde güçlü ve benzersiz bir şifre kullandığından emin ol.
Bu durum için çok özür dileriz. Bize güvendiğini biliyoruz ve bunun için müteşekkiriz. Her gün bu güveni kazanmak için çalışıyoruz.
Twitter Ekibi