Twitter通过自查发现了一个致命漏洞:因为软件出现了差错,导致3.3亿用户的密码在加密之前就被记录在了服务器的日志里。英国《卫报》等媒体透露,这些明文密码现在正以可读的文本形式躺在他们的数据库里。这一问题迫使Twitter赶紧在官方博客和Twitter Support系列推文中给用户发出了警告:请大家立刻换掉自己的密码。 Twitter首席技术官Parag Agrawal解释说,公司原本是用bcrypt哈希函数来保护用户密码的。这种方法可以把随机盐值和字母组合代替真实密码存起来,既方便系统验证身份,又能防止明文泄露。然而,在一次更新迭代中,加密过程被提前打断了,部分还没来得及处理的明文密码就被临时写入了日志。 Parag Agrawal给公众吃了颗定心丸:错误是内部自己发现的,没有外部入侵的痕迹;暴露的密码已经第一时间被删除;也没有任何内部员工违规或滥用的记录。他表示正在部署多重防护机制来避免重蹈覆辙。尽管公司排除了被窃的可能性,但用户还是要采取行动:立刻更改Twitter密码;如果同一密码用在其他平台上也要重置;最好开启两步验证给账号多加一层保护。这次意外事故把3.3亿用户的“家门钥匙”暂时放在了走廊里。虽然Twitter已经把钥匙收回了,但真正的安全钥匙还在用户自己手里。为了把风险降到最低,大家一定要及时更新密码、定期轮换密码、多端加锁。