Notiz Twitter: Passwörter lagen im Klartext im Log, Wechsel empfohlen

Jan

Chefredakteur
Teammitglied
Dabei seit
Apr. 2001
Beiträge
10.427
#1
Auch Twitter speichert die von Anwendern gewählten Passwörter eigentlich nicht im Klartext, sondern als Hashwert ab. Eigentlich. Denn wie der Konzern mitteilt, sei es bei der Umwandlung des Passwortes durch einen Fehler dazu gekommen, dass das Passwort doch im Klartext in internen Log-Dateien gespeichert wurde.

Zur Notiz: Twitter: Passwörter lagen im Klartext im Log, Wechsel empfohlen
 

Gentlem4n

Lt. Commander
Dabei seit
Jan. 2011
Beiträge
1.153
#2
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Das sollte eigentlich mehr als eine Randerwähnung in den Notizen bekommen.
Hab direkt meinen Account gelöscht...
 

Delgado

Lieutenant
Dabei seit
Mai 2009
Beiträge
845
#3
Faszinierend, einfach faszinierend!
 
Dabei seit
Feb. 2011
Beiträge
2.716
#4
Twitter hat diesen Fehler bemerkt und bekanntgegeben. Entweder hier wird vertuscht oder vorbildlich gehandelt. Ich hoffe mal letzteres.
 

Der-Orden-Xar

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.545
#6
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.

Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?

Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
 

L0g4n

Lt. Junior Grade
Dabei seit
Sep. 2013
Beiträge
320
#8
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.

Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?

Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
Ne github hatte genau das selbe Problem, da haben die dann die User benachrichtigt, die davon betroffen waren.
 

Der-Orden-Xar

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.545
#9
Dabei seit
Mai 2004
Beiträge
7.348
#11
Mich würde ja mal das Passwort von Mr. Trump interessieren. Bestimmt "$PussyDestroyer§" oder sowas...

Es zeigt sich immer wieder das es fahrlässig ist nur ein Passwort zu nutzen.
 

nkler

Lieutenant
Dabei seit
Juli 2006
Beiträge
571
#13
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Twitter bitte alle seine Nutzer das Passwort zu wechseln. Das heißt aber nicht automatisch das alle Nutzer auch betroffen waren.
​Ggf. ist da eine Liste mit einem Haufen Passwörtern und da man nicht nachverfolgen kann wem die gehören sollen alle das Passwort ändern.
 
Dabei seit
Aug. 2007
Beiträge
4.509
#14
Willkommen in Kalifornien, Silicon Valley und Umgebung, einer Hochburg an den weltweit besten, ausgebildeten Programmierern und ihren Unicorns.

Da rennt man mit einem Note-it mit allen persönlichen Daten auf der Stirn geklebt durch die Gegend.
 

DonnyDepp

Lt. Commander
Dabei seit
März 2008
Beiträge
1.213
#15
Interessant wär auch, in welchem Zeitraum die Daten in den Logfiles lagen.
Wenn die gestern mal das Debug Logging eingeschaltet haben und die Passwörter gesehen haben, ist das Missbrauch-Risiko relativ gering.
 
Dabei seit
Juli 2013
Beiträge
2.665
#16
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Und dann kommen wieder so "gescheite" Menschen die ein 20+ stelliges PW wollen.
Bringt in solchen Fällen nichts. Aber dann den "dummen" User deswegen haten.
Naja, wenn das PW so umgangen werden kann...
Warum kommt jetzt kein "gescheiter" Mensch und fordert die Leute auf, ein "sicheres" PW zu nehmen.
Wo seid ihr?
Hallo?
...
 
Zuletzt bearbeitet:

CrunchTheNumber

Lt. Junior Grade
Dabei seit
Dez. 2010
Beiträge
480
#17

psYcho-edgE

Vice Admiral
Dabei seit
Apr. 2013
Beiträge
6.890
#18
@Pure Existenz

Äpfel und Birnen.

Komplexe Passwörter sind wichtig für den Fall dass die IT (halbwegs) sauber arbeitet und die Angreifer nur die verschlüsselten Passwörter abgreifen und diese nicht mit Wörterbuchattacken oder in realistischer Zeit mit Brute Force knacken können.

Wenn so etwas wie hier passiert, ist jedes Passwort gefährdet. Klar. Aber dafür kann der Nutzer nichts. Wohl aber für das leichte Entschlüsseln seines unterkomplexen Passworts. Und ein Fall wie hier tritt m.E. seltener auf, als dass verschlüsselte PW geklaut werden.

Anders gesagt: nur weil man weißt, dass Türschlösser manchmal Fehlfunktionen haben oder der Schlüsseldienst ein Schloss knacken kann, heißt das doch nicht, dass man grundsätzlich seine Tür nicht abschließen braucht?

Und da für diesen Fall hier der Nutzer nichts kann, hat die grundsätzlich richtige Forderung nach komplexen Passwörtern hier nicht wirklich was zu suchen.

Aha. Wer Passwörter im Klartext speichert, kann also im Nachhinein "vorbildlich" handeln.
Dass die PW im Klartext im Log gelandet sind ist definitiv nicht vorbildlich. Wie wiederum auf die Situation reagiert wurde ist vorbildlich.

Was ist das Problem? Es sind zwei Handlungen die einzeln bewertet werden können.
 
Zuletzt bearbeitet:
Dabei seit
Aug. 2007
Beiträge
4.777
#19

tek9

Vice Admiral
Dabei seit
Sep. 2013
Beiträge
6.307
#20
Es steht in der Mail von Twitter vorallem dass das eigene Passwort kompromitiert worden sein kann.

Man sollte nicht eine Mücke zum Elefanten machen und einfach bei der nächsten Gelegenheit das Passwort ändern.
 
Top