Thông báo phát hành NukeViet

Vụ Twitter chưa mã hóa mật khẩu của người dùng và bài học giá trị về việc xử lý khủng hoảng truyền thông

Thứ sáu - 04/05/2018 21:31

Giao diện Twitter

Giao diện Twitter
Twitter vừa ra thông báo tới người dùng về một lỗi kỹ thuật của hệ thống liên quan đến việc chưa mã hóa mật khẩu của người dùng có khả năng dẫn đến các nguy cơ an ninh. Dưới góc độ của một nhà phát triển phần mềm cũng như xử lý khủng hoảng truyền thông, chúng ta có rất nhiều bài học từ sự kiện này! Hãy cùng chúng tôi tìm hiểu nhé!
Sau đây là toàn văn thông báo của Twitter:
Chào @nukeviet,
 
Khi bạn đặt mật khẩu cho tài khoản Twitter của mình, chúng tôi sử dụng công nghệ ẩn mật khẩu để không ai trong công ty có thể nhìn thấy nó. Gần đây, chúng tôi phát hiện một lỗi làm mật khẩu chưa được ẩn lưu trữ lại trong nhật ký nội bộ. Chúng tôi đã sửa lỗi và điều tra của chúng tôi cho thấy không có ai vi phạm hoặc sử dụng sai mục đích.
 
Để thận trọng hơn, chúng tôi yêu cầu bạn xem xét thay đổi mật khẩu của mình trên tất cả các dịch vụ mà bạn đã sử dụng mật khẩu này. Bạn có thể thay đổi mật khẩu Twitter của mình bất kỳ lúc nào bằng cách truy cập trang cài đặt mật khẩu.
 
Về lỗi này
 
Chúng tôi ẩn mật khẩu thông qua quá trình băm, sử dụng hàm bcrypt, thay thế mật khẩu thực bằng một tập hợp số và chữ cái ngẫu nhiên được lưu trữ trong hệ thống của Twitter. Điều này cho phép hệ thống của chúng tôi xác thực thông tin tài khoản của bạn mà không tiết lộ mật khẩu của bạn. Đây là một tiêu chuẩn trong ngành.
 
Do lỗi, mật khẩu đã được ghi vào nhật ký nội bộ trước khi hoàn tất quá trình băm. Chúng tôi đã tìm thấy lỗi này, xóa các mật khẩu và đang triển khai các kế hoạch để ngăn chặn lỗi này lặp lại.
 
Mẹo về Bảo mật tài khoản
 
Một lần nữa, mặc dù chúng tôi không có lý do gì để tin rằng thông tin mật khẩu đã rời khỏi hệ thống của Twitter hoặc bị lạm dụng bởi bất kỳ ai, có một vài việc bạn có thể thực hiện để giúp chúng tôi giữ an toàn cho tài khoản của bạn:
 
1.   Thay đổi mật khẩu của bạn trên Twitter và trên bất kỳ dịch vụ nào khác mà bạn có thể đã sử dụng mật khẩu đó.
2.   Sử dụng mật khẩu mạnh mà bạn không sử dụng lại trên các dịch vụ khác.
3.   Bật xác nhận đăng nhập, hay còn được gọi là xác thực hai yếu tố. Đây là hành động tốt nhất bạn có thể thực hiện để tăng cường bảo mật tài khoản của mình.
4.   Sử dụng trình quản lý mật khẩu để đảm bảo bạn đang sử dụng mật khẩu mạnh, độc đáo ở mọi nơi.
 
Chúng tôi rất xin lỗi vì điều này đã xảy ra. Chúng tôi công nhận và đánh giá cao sự tin tưởng bạn đặt vào chúng tôi và cam kết giữ vững niềm tin đó mỗi ngày.
 
Đội ngũ Twitter

Hãy cùng phân tích nội dung thông báo này và xem đẳng cấp xử lý khủng hoảng truyền thông của Twitter nhé:

Đầu tiên, Twitter khẳng định mật khẩu của người dùng đã được Twiter mã hóa và bảo vệ an toàn:

Khi bạn đặt mật khẩu cho tài khoản Twitter của mình, chúng tôi sử dụng công nghệ ẩn mật khẩu để không ai trong công ty có thể nhìn thấy nó.

Sau đó, Twitter thông tin về sự cố ngoài ý muốn:

Gần đây, chúng tôi phát hiện một lỗi làm mật khẩu chưa được ẩn lưu trữ lại trong nhật ký nội bộ.

Twitter thông tin tiếp về quá trình xử lý, hiện trạng và hậu quả (nếu có) một cách trung thực:

Chúng tôi đã sửa lỗi và điều tra của chúng tôi cho thấy không có ai vi phạm hoặc sử dụng sai mục đích.

Twitter đưa ra biện pháp xử lý để đảo bả sự cố được giải quyết một cách triệt để (đồng thời giải thích với người dùng lý do phải thực hiện) theo một cách thuyết phục nhất

Để thận trọng hơn, chúng tôi yêu cầu bạn xem xét thay đổi mật khẩu của mình trên tất cả các dịch vụ mà bạn đã sử dụng mật khẩu này. Bạn có thể thay đổi mật khẩu Twitter của mình bất kỳ lúc nào bằng cách truy cập trang cài đặt mật khẩu.

Twitter tiếp tục giải thích rõ hơn về lỗi theo ngôn từ kỹ thuật nhằm giải tỏa mọi nghi vấn:
Về lỗi này
 
Chúng tôi ẩn mật khẩu thông qua quá trình băm, sử dụng hàm bcrypt, thay thế mật khẩu thực bằng một tập hợp số và chữ cái ngẫu nhiên được lưu trữ trong hệ thống của Twitter. Điều này cho phép hệ thống của chúng tôi xác thực thông tin tài khoản của bạn mà không tiết lộ mật khẩu của bạn. Đây là một tiêu chuẩn trong ngành.
 
Do lỗi, mật khẩu đã được ghi vào nhật ký nội bộ trước khi hoàn tất quá trình băm. Chúng tôi đã tìm thấy lỗi này, xóa các mật khẩu và đang triển khai các kế hoạch để ngăn chặn lỗi này lặp lại.
Phần giải thích lỗi cũng tiết lộ phương thức mã hóa của Twitter sử dụng hàm băm bcrypt. Bcrypt là một giải pháp được ưa chuộng trong cộng đồng an ninh hiện nay. Dạng mã hóa bcrypt nó được coi là bảo mật cao hơn MD5/SHA,SHA1... vì nó tự động tạo ra các chuỗi mã hóa ngẫu nhiên sau mỗi lần tạo ra. Điều này làm cho nó khó khăn hơn cho việc mã hóa và tìm ra mật khẩu cho những cuộc tấn công. Nó cũng có thể được thực hiện để đi chậm hơn, giúp chống lại các cuộc tấn công. Cách hoạt động của Bcrypt  tương tự giải pháp mã hóa riêng cho từng site (Kết hợp giữa MD5 với sitekey) mà NukeViet đang sử dụng cho hệ thống các website được NukeViet 3.x vận hành. Với cách thức này thì dù Cơ sở dữ liệu lưu trữ mật khẩu người dùng có bị lộ thì hậu quả và thiệt hại cũng được hạn chế ở mức thấp nhất. (Tất nhiên đã lộ là sẽ có thiệt hại bởi vì như trường hợp của VNG gần đây, Cơ sở dữ liệu mật khẩu người dùng (160 triệu tài khoản) mặc dù đã được mã hóa nhưng có tới 22 triệu mật khẩu trong số 75 triệu tài khoản người dùng có thể xác thực danh tính).

Twitter cũng không quên "tặng thêm" cho người dùng một số kiến thức, mẹo vặt có liên quan
Mẹo về Bảo mật tài khoản
 
Một lần nữa, mặc dù chúng tôi không có lý do gì để tin rằng thông tin mật khẩu đã rời khỏi hệ thống của Twitter hoặc bị lạm dụng bởi bất kỳ ai, có một vài việc bạn có thể thực hiện để giúp chúng tôi giữ an toàn cho tài khoản của bạn:
 
1.   Thay đổi mật khẩu của bạn trên Twitter và trên bất kỳ dịch vụ nào khác mà bạn có thể đã sử dụng mật khẩu đó.
2.   Sử dụng mật khẩu mạnh mà bạn không sử dụng lại trên các dịch vụ khác.
3.   Bật xác nhận đăng nhập, hay còn được gọi là xác thực hai yếu tố. Đây là hành động tốt nhất bạn có thể thực hiện để tăng cường bảo mật tài khoản của mình.
4.   Sử dụng trình quản lý mật khẩu để đảm bảo bạn đang sử dụng mật khẩu mạnh, độc đáo ở mọi nơi.
Không quên xin lỗi người dùng vì sự bất tiện mà mình đã gây ra:

Chúng tôi rất xin lỗi vì điều này đã xảy ra. Chúng tôi công nhận và đánh giá cao sự tin tưởng bạn đặt vào chúng tôi và cam kết giữ vững niềm tin đó mỗi ngày.

Một thông báo tốt có thể giúp dập tắt các khủng hoảng truyền thông không đáng có. Đây thực sự là một bức thư kiểu mẫu trong giải quyết các sự cố kỹ thuật mà các công ty công nghệ khác cần học hỏi.

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây