Hoy, Twitter emitió una alerta a los usuarios pidiéndoles que cambien sus contraseñas después del descubrimiento de que las contraseñas de algunos usuarios tenían ha sido grabado en texto plano en un archivo de registro accesible solo por Empleados de Twitter. En un mensaje enviado a la mayoría de los usuarios de Twitter, el la empresa declaró:
Recientemente identificamos un error que almacenaba contraseñas desenmascaradas en Un registro interno. Hemos solucionado el error, y nuestra investigación muestra ninguna indicación de incumplimiento o mal uso por parte de nadie. De una abundancia de precaución, le pedimos que considere cambiar su contraseña en todos servicios donde ha usado esta contraseña.
En una publicación de blog, el director de tecnología de Twitter, Parag Agrawal escribió que Twitter usa la función de hash bcrypt, basada en Bruce Algoritmo de encriptación Blowfish de Schneier, para almacenar matemática representaciones de contraseñas. “Esto permite que nuestros sistemas validen las credenciales de su cuenta sin revelar su contraseña, “Agrawal célebre. “Este es un estándar de la industria”.
Pero debido a un error de codificación, Agrawal explicó que “las contraseñas eran escrito en un registro interno antes de completar el proceso de hash. Encontramos este error nosotros mismos, eliminamos las contraseñas y estamos implementar planes para evitar que este error vuelva a ocurrir “.
La alerta llega dos días después de que un error similar afectara contraseñas de algunos usuarios del sitio de código compartido GitHub . GitHubTambién descubrí que un registro interno tenía contraseñas grabadas antes del hashing y alertó a los usuarios afectados.
Whoah @github parece tener un problema de #usuarios # contraseña. Alguien mas lo has recibido? ↘ pic.twitter.com/m8ybsanjBP
– SwitHak (@SwitHak) 1 de mayo de 2018
Si bien las probabilidades de que las contraseñas se expongan a alguien fuera de Twitter o GitHub en ambos casos es relativamente bajo, existe la posibilidad de que alguien haya interceptado el contraseñas sin cifrar tal como fueron escritas en archivos de registro u obtenidas una copia del registro de alguna manera. Entonces, si eres un usuario de Twitter o eres uno de los usuarios de GitHub que recibieron una notificación, debe cambiar su contraseña en los servicios afectados, así como en cualquier otro lugar donde puede haber usado la contraseña. Si ha implementado dos factores autenticación para Twitter, el riesgo de acceso a su cuenta es mucho menor, pero alguien que tiene acceso a los datos de la cuenta podría úselo para intentar obtener acceso al correo electrónico y a otros sitios web cuentas