Twitter reveló que sus contraseñas se desenmascararon en los registros internos. Pero corríjame si me equivoco, las contraseñas nunca se desenmascaran, ¿no?
Por ejemplo, si el texto en claro es "contraseña", se almacena como "#masked". Durante la autenticación, la "contraseña" se enmascara a "#masked", y se verifica que enmascarado == se almacena.
Entonces, ¿cómo un proceso interno terminó desenmascarándolos?
Yo especulé sobre las maneras Esto podría suceder en mi blog , pero el problema es que el servidor recibe su contraseña como texto sin formato. (Sí, está en un flujo TLS, pero se descifra antes de ser transferido a la capa de aplicación). Es muy probable que algún tipo de código de depuración se haya activado accidentalmente y que se logre el registro de la solicitud HTTP, un RPC entre microservicios o algún otro forma de producto intermedio.
(probablemente) no era "vamos a registrar la contraseña", pero más bien como "vamos a registrar estas solicitudes JSON serializadas a los servicios backend" y uno de esos servicios resultó ser el backend de autenticación.
No lo hace. La contraseña está enmascarada en los servidores de Twitter, lo que significa que antes de que estén enmascarados, están en texto sin formato. Twitter registró las contraseñas en el registro antes de que se enmascararan. Por lo tanto, el registro contenía las contraseñas no enmascaradas.
Lea otras preguntas en las etiquetas passwords password-management