Yazılımdaki bir hatanın şifresiz şekilde, belirtilmeyen bir vakit baştan başa parolaların depolanmasına yol açmasının arkasından, Perşembe günü Twitter 330 milyon kullanıcısını parolalarını değiştirmeleri konusunda uyardı. Kaynak: https://www.buzzfeed.com/blakemontgomery…
“Kısa vakit önce şifreleri iç günlüklerde dobra dobra saklayan bir kusur bulduk. Hatayı düzelttik ve kimse tarafından kötüye başvuru formu ya da ihlale rastlamadık. Önlem olarak, bu şifreyi kullandığınız bütün servislerde şifrenizi değiştirmeyi düşünün.”
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ— Twitter Support (@TwitterSupport) May 3, 2018
Sonuç olarak, şifrenizi değiştirmeli misiniz?
Muhtemelen! Ama belirtmek gerekirse, birçok kişinin finansal bilgilerini açık eden Equifax veri ihlali kadar büyük bir olay değil. Ayrıca, Twitter kimsenin bu bilgilere ulaşmadığını belirtiyor ve hatta yazılan açıklama tweetinde de şifre değişiminin herkesin yapması gereken bir şeyden ziyade, bir “önlem” olduğunu belirtiyor. Daha sonra şirket yöneticileri de bunun bir “seçim” olduğunu belirtir şekilde konuştular.
Twitter’ın baş teknoloji memurunun paylaştığı tweet şöyle diyor: “Bu bilgiyi insanların hesaplarının güvenliği hakkında haberli bir seçim yapmalarına yardımcı olmak için paylaşıyoruz. Zorunda değildik, ama doğru hareketin bu olduğuna inanıyoruz.”
We are sharing this information to help people make an informed decision about their account security. We didn’t have to, but believe it’s the right thing to do. https://t.co/yVKOqnlITA— Parag Agrawal (@paraga) May 3, 2018
Fakat daha sonra zorunlu olmadıklarını söylediği için pişman olması üzerine böyle bir paylaşımda bulundu: “Paylaşmak zorunda olmadığımızı söylememeliydim. Paylaşmamız gerektiğini güçlü bir şekilde hissettim. Benim hatam.”
I should not have said we didn’t have to share. I have felt strongly that we should. My mistake. https://t.co/Cqbs1KiUWd— Parag Agrawal (@paraga) May 3, 2018
Güvenlik uzmanları da aynı fikirde:
Tendermint’de güvenliği yöneten Jessy Irwin’in söylediğine göre “Bu olay düşük ila orta arası güvenlik sorunları seviyesinde. Cevapladığından daha çok soruya neden oluyor, fakat bütün internette değil de sadece içte olan bir şifre sızımı başa çıkmak için daha ideal bir durum.”
“Hesabınızı güvenli tutuyoruz.”
“Twitter hesabınız için bir şifre oluşturduğunuzda, bunu gizleyen bir teknoloji kullanıyoruz ki, şirketimizdeki kimse ona ulaşamasın. Kısa süre önce şifreleri iç günlüklerde açıkça saklayan bir hata belirledik. Hatayı düzelttik ve kimse tarafından kötüye kullanım ya da ihlale rastlamadık.Önlem olarak, bu şifreyi kullandığınız tüm servislerde şifrenizi değiştirmeyi düşünmenizi rica ediyoruz.”
Peki şifrelere ne oldu?
Olay tamamen teknoloji şirketlerinin nasıl işlediği ve şifreleri nasıl sakladığıyla alakalı ve bolca zor matematik içeriyor fakat karışık bir consept değil.Diyelim ki Twitter şifreniz Şifre123. Şifrenizi bu şekilde girseniz bile, Twitter çalışanları bunu 937dkj943örn gibi karışık harfler ve numaralar şeklinde görüyorlar. Bu işleme “hashing” (karma) deniyor. Karışık şekline de “hashed password.” (karmalanmış şifre) Şifrenizi girdiğinizde birkaç koddan geçiyor ve karma hali görünüyor. Bu şekilde başka birisinin şifrenizi çalması engelleniyor.
“Twitter uygulaması artık kullanıcılara şifreleri değiştirmelerini telkin ediyor.”
The Twitter app is now apparently prompting users to change their passwords pic.twitter.com/Y8uRmfSAaC— Sam Gavin (@samgavinLA) May 3, 2018
Peki hata nerde oldu?
Twitter’ın açıklamalarına kadar, şirket insanların şifrelerini “açık” bir şekilde iç günlüklerde depoladı. Bu, antre yaparken karma olmayan halin görülebildiği anlamına geliyor.Bu durumda, eğer birisi Twitter veri tabanlarına girseydi, şifreleri kopyala-yapıştır yerine getirmek gibi basit bir şekilde hesapları çalabilirdi. Neyse oysa, Twitter kimsenin bunu yapmadığını açıkladı. Twitter’da kaç kişinin şifrelenmiş parolalara varmak yetkisi olduğunu ya da hashing sisteminde soruna neyin yol açtığını bilmiyoruz. Twitter’ın iç emniyet poliçeleri çalışanların -muhtemelen mühendislerin- günlüklere erişimi olduğunu emir ediyor. Fakat, Twitter’ın açıkladığı üzere, kimse bu şifreleri görmemiş.Twitter’ın sözcüsü Liz Kelley’in yaptığı açıklamaysa şöyle: “Bu bilgiler süresiz bir bölgedeki iç günlüklerdeydi. Bu yüzden görülmüş olmaları olası değil.”Açıklamada konu üstüne araştırmanın devam ettiği belirtilirken, şifrelerin ne kadar süredir açıkta durduğu belirtilmedi.
Twitter kullanıcılarına hesaplarını korumak adına 4 öneride bulundu:
Twitter’daki ve benzer şifreyi kullanmış olabileceğiniz yerlerdeki şifrelerinizi değiştirin.Başka sitelerde kullanmadığınız güçlü bir şifre kullanın.Çift faktörlü kimlik doğrulamayı etkinleştirin. Bu güvenliğiniz için atabileceğiniz en iyi adım.Güçlü ve eşsiz şifreler kullandığınızdan muhakkak almak için bir parola yöneticisi kullanın.
0 Yorum