El jueves, Twitter informo que un error provocó que las contraseñas de las cuentas se almacenaran en texto sin formato en un registro interno, enviando a los usuarios a través de la plataforma luchando por cambiar sus contraseñas.
La compañía dijo que su equipo de expertos en seguridad informática encontró y solucionó el problema, también menciono que su investigación no muestra indicios de incumplimiento o mal uso por parte de nadie. La compañía no especificó cuántas contraseñas se vieron afectadas, Reuters calculó más de 330 millones.
“Quiero enfatizar que esto no es una filtración y nuestra investigación no ha mostrado signos de uso indebido”, comento un portavoz de Twitter. “Estamos compartiendo esta información para que todos puedan tomar una decisión informada sobre la seguridad de su cuenta”, agrego. El vocero no hizo comentarios sobre la vulnerabilidad y cuántos usuarios se vieron afectados.
“…las contraseñas se escribieron en un registro interno antes de completar el proceso de hashing”, dijo Parag Agrawal, CTO de Twitter. “Este error fue encontrado por nuestro equipo de seguridad, eliminamos las contraseñas y estamos implementando planes para evitar que este error vuelva a suceder”.
Todos los usuarios que abrieron sus cuentas el jueves, recibieron un mensaje de Twitter pidiéndoles que tomen en cuenta la posibilidad de cambiar su contraseña en los servicios donde usaron la contraseña.
Twitter comento que enmascara las contraseñas mediante hash usando bcrypt, esto reemplaza la contraseña real con un conjunto aleatorio de caracteres almacenados en su sistema. Sin embargo, la vulnerabilidad provocó que las contraseñas se escribieran en el sistema informático interno de la empresa antes de que se completara el proceso de hash.
Agrawal dijo que Twitter está compartiendo la información sobre el problema para ayudar a los usuarios a “tomar una decisión informada sobre la seguridad de su cuenta”.
El experto en seguridad informática Troy Hunt comento: “Los registros a menudo están en gran parte automatizados, pero sin duda es un descuido masivo”, dijo. “Por la misma razón, si el alcance del problema es que las contraseñas se capturaron en los registros internos, los registros no se expusieron y posteriormente lo limpiaron”.
Esta noticia es paralela a otro incidente esta semana, donde Github reveló que había descubierto una vulnerabilidad introducida que exponía una cantidad de contraseñas de los usuarios en texto sin formato. GitHub también usa bcrypt para contraseñas hash, comentaron expertos en seguridad informática.
Twitter llamo la atención a principios de la semana después de revelar que vendió acceso a datos a un investigador vinculado a Cambridge Analytica. Esto aumentaba las preocupaciones de la comunidad de seguridad acerca de cómo las empresas protegen la información privada de los usuarios.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
