Twitter, esposti oltre 300 milioni di account

AutenticazioneAziendeSicurezza
Twitter nel mirino di Walt Disney

Twitter si è accorta di un bug interno per cui in un file di log venivano esposte le password in chiaro. Esposti oltre 300 milioni di account, ma nessuna violazione dall’esterno

Twitter, come praticamente tutti i social network, utilizza una tecnologia di hashing (bcrypt) che oscura le password affinché nessuno dei dipendenti dell’azienda possa mai vederla.

E tuttavia il vendor ha di recente identificato un bug per cui le password venivano memorizzate nella forma non oscurata in un log poi utilizzato per scopi interni. Ora Twitter annuncia di aver rimediato al bug, e di avere appurato che nessuno abbia effettivamente commesso violazioni tramite il bug o abbia utilizzato impropriamente le informazioni in chiaro.

Tuttavia l’azienda ha espressamente dichiarato quanto abbiamo appena spiegato a tutti i suoi utenti invitandoli a modificare la password di utilizzo. Basta aprire l’app per venire informati ed essere guidati alla modifica della password.

In particolare Twitter spiega come la funzione bcrypt che sostituisce la password reale con un set di caratteri e numeri e lettere, abbia funzionato, ma tutte le password prima di questo passaggio siano finite in chiaro in un log interno e sia stata l’azienda stessa ad accorgersi del bug e a rimediarlo, comunque comunicandolo al pubblico anche non in presenza di violazioni dall’esterno. 

Nessun progresso sulle password: ancora troppo banali
Le password sono state esposte in chiaro in un file di log interno, a disposizione dell’azienda che non ha rilevato utilizzi fraudolenti o violazioni

La richiesta agli utenti resta comunque doverosa: essi potranno, e Twitter lo consiglia, cambiare la password di accesso, cambiarla a tutti gli altri servizi eventualmente utilizzati con la stessa password (ed è l’occasione buona finalmente per gestire con maggior senno le proprie informazioni), potranno inoltre abilitare l’autenticazione a due fattori, la migliore delle opzioni possibili per garantirsi un ulteriore livello di sicurezza e ovviamente utilizzare un password manager affidabile per gestire le proprie password con oculatezza, potendosi permettere anche l’utilizzo di password complesse senza la minima perdita di tempo poi per le procedure di login.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore