[この記事は掲載が終了しました]
コメント
注目のコメント
パスワードが流出したと勘違いされている方が多いですが、今のところ外部に漏れたという事実は確認されておらず、システム内部のログにパスワードが平文状態で書き込まれてしまっていたとのこと。例えばユーザーの行動やクライアント端末からのリクエストを逐次記録していた場合は有り得そうですね。
が、内部ログに書き込まれたところで、そのパスワードを得るためには複数のサーバーに侵入する(もしくは該当のサーバーにアクセス可能な社員が悪意を持って持ち出す)必要があります。Twitter ぐらいの規模でサーバーのアクセス制限がゆるいというのは考えづらく、実際に流出した可能性はさほど高くないのではないでしょうか。
勿論システム事業者としては気をつけるべきことですが、後からでもこういう問題があることに気付けるのは、内部でリスクをしっかり評価出来ている・定期的にセキュリティ診断を受けているなど、セキュリティ対策がしっかり機能していることの裏返しでもありますね。小規模な事業者であればインターネットに接する箇所しかセキュリティチェックしていない場合も多いと思いますので、システム内部までしっかりチェックしているのは良いことだと思います。
※ とはいえ実際に流出していた可能性もあるので念のためパスワードは変えましょうハッシュ化したものが漏れたってヤバいのに、ハッシュ化前の平文が漏れるようになってたなんて信じられない。加えて、「いつからこうなっていたか」を発表しないのは、穿った見方をすれば、
1.本当にわからない(つまり長い可能性が十分にある)
2.長過ぎて恥ずかしくて正直に言えない
3.わかってるけど、セキュリティ意識が低く、言う必要性を感じてない
のいずれかだと思っちゃう。だとすれば、今後発表してくれるのか注目すべきものの、こういうのは軽視せず変えた方がいいでしょうね。あぁ、面倒。
