周三傍晚,全球数亿推特用户突然收到一条改变他们的生活习惯的消息:建议大家赶紧换密码。没有任何数据泄露的具体消息,推特官方只是轻描淡写地说进行了内部调查,“没发现什么不好的东西”。可这个消息一下子把大家吓坏了,#TwitterChangeYourPassword 这个话题很快就冲到了多国热搜的榜首。到底出了什么事?外媒拆解发现,这次推特在升级身份验证流程时,不小心把密码以明文形式写进了内部的运维日志。本来应该把密码先散列成一段无规律的字符串,再加点盐值混合后存储,结果这次直接把密码明文和盐值摆在日志里,毫无保护可言。简单说,散列(Hash)就像给密码上了一把锁,锁体很小却能锁一把大钥匙。黑客即使拿到锁体也解不开钥匙,而这次推特用的 bcrypt 正是标准做法,先加盐再反复哈希。可惜有个 bug 没修复,导致哈希链中断,结果部分用户的“钥匙”直接被扔进了日志。推特怎么补救?首先官方承认漏洞已经堵上了,目前也没有证据显示密码被偷走。他们强烈建议大家赶紧改密,甚至提到在所有用同一密码的服务上同步改密。虽然没发现数据外泄的证据,但裸奔的日志可能被其他人抓走过。 针对用户自己能做什么?第一步肯定是立刻改密,千万别用那些老掉牙的密码像123456或者password这种弱口令。最好用强随机生成器来选新密码。第二步是检查第三方授权的情况,登录推特App去管理授权列表,看看邮件、支付和云服务有没有过度授权。一旦发现有陌生服务在用你的令牌,赶紧取消授权并重置下游密码。第三步是开启两步验证功能,即使换了新密码也不安全,推荐用短信或者TOTP硬件令牌双重验证。短信可能被拦截,硬件令牌相对更安全。 市场反应方面推特股价一度跌了2%,投资者担心数据泄露会影响广告主信心。但从技术上看只要没大规模账号异常登录,股价情绪很快就会平复。真正需要关注的是推特能不能借此机会彻底改一下身份验证架构而不是再出现漏洞。 总结来说这就是个提醒也是个行业警钟。大型平台快速迭代时往往忽略细节自动化流程的半成品数据都可能泄露。对用户来说把改密当成每年一次的体检比事后追究泄露了多少更重要对平台来说修复漏洞加固安全是必须要做的生存题。