ツイッター、不具合でPW「露出」 変更呼び掛け

単なるお遊びから世界規模のお遊びに成長したtwitter。
コメントを見ていても相も変わらず、好き勝手使っておきながら一つのミスも許さない。
これこそがtwitterの民度である。

インターネットが生まれたときから、情報をネットに上げるリスクが常に言われてきたが、誰も学んじゃいないという事でしょう。

確実にその存在意義は証明されているので、今後も低い民度の方々でも使える素晴らしいサービスを継続して頂きたいと思います。

パスワードが流出したと勘違いされている方が多いですが、今のところ外部に漏れたという事実は確認されておらず、システム内部のログにパスワードが平文状態で書き込まれてしまっていたとのこと。例えばユーザーの行動やクライアント端末からのリクエストを逐次記録していた場合は有り得そうですね。

が、内部ログに書き込まれたところで、そのパスワードを得るためには複数のサーバーに侵入する（もしくは該当のサーバーにアクセス可能な社員が悪意を持って持ち出す）必要があります。Twitter ぐらいの規模でサーバーのアクセス制限がゆるいというのは考えづらく、実際に流出した可能性はさほど高くないのではないでしょうか。

勿論システム事業者としては気をつけるべきことですが、後からでもこういう問題があることに気付けるのは、内部でリスクをしっかり評価出来ている・定期的にセキュリティ診断を受けているなど、セキュリティ対策がしっかり機能していることの裏返しでもありますね。小規模な事業者であればインターネットに接する箇所しかセキュリティチェックしていない場合も多いと思いますので、システム内部までしっかりチェックしているのは良いことだと思います。

※ とはいえ実際に流出していた可能性もあるので念のためパスワードは変えましょう

え？まじ？ひどすぎ。これが暗号通貨の取引所だったら一発アウトでGOXる。

ハッシュ化したものが漏れたってヤバいのに、ハッシュ化前の平文が漏れるようになってたなんて信じられない。加えて、「いつからこうなっていたか」を発表しないのは、穿った見方をすれば、

1.本当にわからない(つまり長い可能性が十分にある)
2.長過ぎて恥ずかしくて正直に言えない
3.わかってるけど、セキュリティ意識が低く、言う必要性を感じてない

のいずれかだと思っちゃう。だとすれば、今後発表してくれるのか注目すべきものの、こういうのは軽視せず変えた方がいいでしょうね。あぁ、面倒。