Notiz Twitter: Passwörter lagen im Klartext im Log, Wechsel empfohlen

Jan

Chefredakteur
Teammitglied
Registriert
Apr. 2001
Beiträge
16.026
Auch Twitter speichert die von Anwendern gewählten Passwörter eigentlich nicht im Klartext, sondern als Hashwert ab. Eigentlich. Denn wie der Konzern mitteilt, sei es bei der Umwandlung des Passwortes durch einen Fehler dazu gekommen, dass das Passwort doch im Klartext in internen Log-Dateien gespeichert wurde.

Zur Notiz: Twitter: Passwörter lagen im Klartext im Log, Wechsel empfohlen
 
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Das sollte eigentlich mehr als eine Randerwähnung in den Notizen bekommen.
Hab direkt meinen Account gelöscht...
 
Faszinierend, einfach faszinierend!
 
  • Gefällt mir
Reaktionen: palimpalim6414
Twitter hat diesen Fehler bemerkt und bekanntgegeben. Entweder hier wird vertuscht oder vorbildlich gehandelt. Ich hoffe mal letzteres.
 
Seh ich genauso. Aber ich bin da immer kritisch. Wie gesagt, das Internet vergisst nie...
 
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.

Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?

Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
 
Der-Orden-Xar schrieb:
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.

Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?

Benutze die 2FA schon seit Jahren bei Twitter..
 
Der-Orden-Xar schrieb:
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.

Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?

Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
Ne github hatte genau das selbe Problem, da haben die dann die User benachrichtigt, die davon betroffen waren.
 
Mich würde ja mal das Passwort von Mr. Trump interessieren. Bestimmt "$PussyDestroyer§" oder sowas...

Es zeigt sich immer wieder das es fahrlässig ist nur ein Passwort zu nutzen.
 
Gentlem4n schrieb:
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Twitter bitte alle seine Nutzer das Passwort zu wechseln. Das heißt aber nicht automatisch das alle Nutzer auch betroffen waren.
​Ggf. ist da eine Liste mit einem Haufen Passwörtern und da man nicht nachverfolgen kann wem die gehören sollen alle das Passwort ändern.
 
Willkommen in Kalifornien, Silicon Valley und Umgebung, einer Hochburg an den weltweit besten, ausgebildeten Programmierern und ihren Unicorns.

Da rennt man mit einem Note-it mit allen persönlichen Daten auf der Stirn geklebt durch die Gegend.
 
Interessant wär auch, in welchem Zeitraum die Daten in den Logfiles lagen.
Wenn die gestern mal das Debug Logging eingeschaltet haben und die Passwörter gesehen haben, ist das Missbrauch-Risiko relativ gering.
 
Gentlem4n schrieb:
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.

Und dann kommen wieder so "gescheite" Menschen die ein 20+ stelliges PW wollen.
Bringt in solchen Fällen nichts. Aber dann den "dummen" User deswegen haten.
Naja, wenn das PW so umgangen werden kann...
Warum kommt jetzt kein "gescheiter" Mensch und fordert die Leute auf, ein "sicheres" PW zu nehmen.
Wo seid ihr?
Hallo?
...
 
Zuletzt bearbeitet:
SoDaTierchen schrieb:
Entweder hier wird vertuscht oder vorbildlich gehandelt. Ich hoffe mal letzteres.
Aha. Wer Passwörter im Klartext speichert, kann also im Nachhinein "vorbildlich" handeln? Schade, dass die DSGVO noch nicht gilt EIn Geldbuße von 2% des weltweiten Jahresumsatzes hätte hier sicherlich erzieherisch gewirkt.

Gruß,
CTN
 
@Pure Existenz

Äpfel und Birnen.

Komplexe Passwörter sind wichtig für den Fall dass die IT (halbwegs) sauber arbeitet und die Angreifer nur die verschlüsselten Passwörter abgreifen und diese nicht mit Wörterbuchattacken oder in realistischer Zeit mit Brute Force knacken können.

Wenn so etwas wie hier passiert, ist jedes Passwort gefährdet. Klar. Aber dafür kann der Nutzer nichts. Wohl aber für das leichte Entschlüsseln seines unterkomplexen Passworts. Und ein Fall wie hier tritt m.E. seltener auf, als dass verschlüsselte PW geklaut werden.

Anders gesagt: nur weil man weißt, dass Türschlösser manchmal Fehlfunktionen haben oder der Schlüsseldienst ein Schloss knacken kann, heißt das doch nicht, dass man grundsätzlich seine Tür nicht abschließen braucht?

Und da für diesen Fall hier der Nutzer nichts kann, hat die grundsätzlich richtige Forderung nach komplexen Passwörtern hier nicht wirklich was zu suchen.

CrunchTheNumber schrieb:
Aha. Wer Passwörter im Klartext speichert, kann also im Nachhinein "vorbildlich" handeln.

Dass die PW im Klartext im Log gelandet sind ist definitiv nicht vorbildlich. Wie wiederum auf die Situation reagiert wurde ist vorbildlich.

Was ist das Problem? Es sind zwei Handlungen die einzeln bewertet werden können.
 
Zuletzt bearbeitet:
Gentlem4n schrieb:
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.

Da steht nirgendwo was davon, dass alle PW im Klartext waren. Sind eher nur neue und geänderte PW betroffen. Bereits gespeicherte Hashes werden und können wohl kaum erneut umgewandelt werden.
 
Es steht in der Mail von Twitter vorallem dass das eigene Passwort kompromitiert worden sein kann.

Man sollte nicht eine Mücke zum Elefanten machen und einfach bei der nächsten Gelegenheit das Passwort ändern.
 
Zurück
Oben