Twitter oggi ha chiesto tutti i suoi utenti prendere in considerazione la possibilità di cambiare le proprie password dopo aver scoperto un bug che ne causava l'archiviazione "smascherata in un registro interno".
Secondo Twitter, il bug è stato corretto e non ha visto "alcuna indicazione di violazione o uso improprio da parte di nessuno" dopo un'indagine.
Di recente abbiamo trovato un bug che memorizzava le password non mascherate in un registro interno. Abbiamo corretto il bug e non abbiamo alcuna indicazione di violazione o uso improprio da parte di nessuno. Per precauzione, valuta la possibilità di cambiare la tua password su tutti i servizi in cui hai utilizzato questa password. https://t.co/RyEDvQOTaZDi recente abbiamo trovato un bug che memorizzava le password non mascherate in un registro interno. Abbiamo corretto il bug e non abbiamo alcuna indicazione di violazione o uso improprio da parte di nessuno. Per precauzione, valuta la possibilità di cambiare la tua password su tutti i servizi in cui hai utilizzato questa password.
https://t.co/RyEDvQOTaZ— Assistenza Twitter (@TwitterSupport) 3 maggio 20183 maggio 2018
Vedi altro
Il bug stesso è correlato alla funzione di hashing che Twitter utilizza per mascherare le password. Twitter afferma che le password sono state scritte in un registro interno prima che il processo di hashing fosse completato, lasciandole esposte. Da Twitter:
Mascheriamo le password attraverso un processo chiamato hashing utilizzando una funzione nota come bcrypt, che sostituisce la password effettiva con un insieme casuale di numeri e lettere memorizzate nel sistema di Twitter. Ciò consente ai nostri sistemi di convalidare le credenziali del tuo account senza rivelare la tua password. Questo è uno standard del settore. A causa di un bug, le password sono state scritte in un registro interno prima di completare il processo di hashing. Abbiamo trovato noi stessi questo errore, rimosso le password e stiamo implementando piani per evitare che questo bug si ripeta.
Per cautela, gli utenti di Twitter dovrebbero reimpostare la propria password per il servizio, così come quelli per qualsiasi servizio che utilizza la stessa password. Ora sarebbe anche un buon momento per iniziare a utilizzare l'autenticazione a due fattori se non lo sei già.