Twitter, bug mostra le password in chiaro
In un post sul blog aziendale, Twitter ha lanciato il suo grido di allerta: un bug sulla sua piattaforma mostra le password in chiaro. Sebbene la compagnia abbia già risolto il problema interno che metterebbe a rischio la sicurezza di 336 milioni di account, ha comunque esortato i suoi clienti a cambiare i loro codici di accesso mandando questo messaggio:
Mantieni sicuro il tuo account
Quando imposti la password per il tuo account Twitter, utilizziamo una tecnologia che la oscura affinché nessun dipendente della nostra azienda possa vederla. Di recente abbiamo identificato un bug che memorizzava le password non oscurate in un log che veniva utilizzato a scopi interni. Abbiamo risolto il bug in questione e, attraverso le nostre indagini, abbiamo appurato che nessuno ha commesso violazioni tramite questo bug o lo ha usato impropriamente. Per prudenza, ti consigliamo di cambiare password su tutti i servizi in cui hai utilizzato questa password.
Cosa è successo?
A quanto pare, Twitter usa una tecnologia che permette di oscurare le password dei suoi utenti, camuffandole attraverso un processo detto “hashing” che utilizza una funzione chiamata “bcrypt”, in modo da renderle irriconoscibili a chiunque, perfino a chi lavora per la compagnia, sostituendole con una serie casuale di lettere e numeri.
Oscuriamo le password attraverso un processo di codifica che utilizza una funzione chiamata “bcrypt”, che sostituisce la password effettiva con una serie di numeri e lettere casuali che viene memorizzata nei nostri sistemi. Ciò permette ai nostri sistemi di convalidare le credenziali del tuo account senza rivelare la password. Si tratta di uno standard del settore.
A causa di un bug sulla sua piattaforma, i codici di accesso dei suoi clienti sono stati memorizzati nella loro forma di origine e per esteso, cioè senza passare per la fase di trasformazione. Quindi, per un breve lasso di tempo il sistema in errore ha mostrato le password in chiaro a tutti, ma Twitter assicura che nessuno ha mai sfruttato questa situazione, né i dipendenti della compagnia né i malintenzionati.
A causa di un bug, le password venivano registrate in un log che veniva utilizzato a scopi interni prima che il processo di codifica fosse completato. Siamo stati noi stessi a trovare questo errore, rimuovere le password e implementare delle precauzioni affinché questo bug non si manifesti nuovamente.
Perciò, il CTO di Twitter, Parag Agrawal, in un post sul suo blog ha dichiarato: “Ci spiace molto per quanto accaduto. Apprezziamo la fiducia che riponete nei nostri confronti e ci impegniamo al fine di guadagnarci questa fiducia ogni singolo giorno.”.
Cosa conviene fare?
È vero che la compagnia ha già risolto il problema interno, ma è anche vero che ha invitato i suoi utenti a cambiare i loro codici di accesso sia su Twitter che sui servizi di terze parti su cui impiegano queste stesse password in via precauzionale, per cui è opportuno che adottino dei nuovi e unici codici di accesso, creati preferibilmente tramite un apposito strumento che ne garantisca la complessità, e che abilitino la famosa autenticazione a due fattori dalle Impostazioni.