Twitter envió la semana pasada una advertencia a sus 330 millones de usuarios. La misma instaba a todos a cambiar sus contraseñas. El anuncio de seguridad se produce después de que la compañía descubriera un error que dejaba las contraseñas almacenadas en forma no encriptada en los registros internos.
Por un lado, Twitter afirma que el error ha sido resuelto y que los registros de texto plano han sido eliminados. A pesar de ello, la red social se dedicó a alertar a sus usuarios para que realizaran un cambio de contraseña. Esto, según dijeron, como una medida extra de precaución.
Twitter dice que no hay indicios de que alguien haya visto las contraseñas fuera de la empresa. Asimismo, señaló que el error fue descubierto por uno de sus empleados. Sin embargo, la «abundancia de precaución» va más allá. Incluso tan lejos como a hacer la sugerencia de que los usuarios que hayan usado la misma contraseña en otros sitios y servicios también deberían cambiar sus contraseñas en otro lugar.
La noticia del error fue hecha pública por el mismo Twitter. La plataforma se encargó de ello mediante un tuit de su cuenta oficial: «Hemos encontrado recientemente un error en las contraseñas almacenadas en un registro interno. Hemos corregido el error y no hay ninguna indicación de una violación o mal uso por cualquier otra persona. Como medida de precaución, considere cambiar su contraseña en todos los servicios donde haya usado esta contraseña».
Los usuarios que inician sesión en el sitio web y en la app móvil se enteraron de inmediato. Esto mediante un mensaje que los alentaba a visitar la configuración de su cuenta para cambiar sus respectivas contraseñas en el sitio.
El error interno de Twitter
En una publicación de blog sobre el incidente de la contraseña, el director de tecnología de Twitter, Parag Agrawal, explica: «Cuando estableces una contraseña para tu cuenta de Twitter, utilizamos tecnología que la enmascara. Esto para que nadie en la empresa pueda verla. Recientemente identificamos un error en el que las contraseñas almacenadas se desenmascararon en un registro interno”.
Agrawal continúa asegurando que la compañía solucionó el error. Y que, adicional a eso, el equipo de investigación determinó que no se mostraron indicios de incumplimiento. Tampoco de mal uso de esta información tan importante por parte de nadie, externo o interno.
El director de tecnología sigue su declaración. Esto al revelar un poco sobre el error en sí: «Enmascaramos las contraseñas a través de un proceso llamado hash. Esto usando una función conocida como bcrypt, que reemplaza la contraseña real con un conjunto aleatorio de números y letras que se almacenan en el sistema de Twitter. Esto permite nuestros sistemas validar las credenciales de tu cuenta sin revelar tu contraseña. Este es un estándar de la industria».
Aparentemente, y debido a un error, las contraseñas se escribieron en un registro interno antes de completar el proceso hash. El error fue encontrado por los mismos desarrolladores. Quienes luego eliminaron las contraseñas comprometidas. Adicional a ello, la compañía estaría implementando planes para evitar que este error vuelva a suceder.