Twitter ha in queste ore notificato a tutti i propri utenti che per lungo periodo è stato presente un bug nei propri server che salvava le password in un log di sistema in maniera non crittografata. Fortunatamente però nessun attacco hacker è riuscito a violare i server prendendo possesso dei dati.
Il bug è stato risolto ma, per una maggior sicurezza e per una questione di rispetto della privacy dei propri clienti, il colosso dei social ha consigliato ai 330 milioni di utenti di modificare la password.
La email che i responsabili di Twitter hanno inviato è la seguente:
Quando imposti la password per il tuo account Twitter, utilizziamo una tecnologia che la oscura affinché nessun dipendente della nostra azienda possa vederla. Di recente abbiamo identificato un bug che memorizzava le password non oscurate in un log che veniva utilizzato a scopi interni. Abbiamo risolto il bug in questione e, attraverso le nostre indagini, abbiamo appurato che nessuno ha commesso violazioni tramite questo bug o lo ha usato impropriamente
Per prudenza, ti consigliamo di cambiare password su tutti i servizi in cui hai utilizzato questa password. Puoi cambiare password di Twitter in qualsiasi instante dalla pagina delle impostazioni relative alla password.
Per quanto riguarda il bug, nella e-mail inviata Twitter ha dato una spiegazione semplice del funzionamento:
Oscuriamo le password attraverso un processo di codifica che utilizza una funzione chiamata “bcrypt”, che sostituisce la password effettiva con una serie di numeri e lettere casuali che viene memorizzata nei nostri sistemi. Ciò permette ai nostri sistemi di convalidare le credenziali del tuo account senza rivelare la password. Si tratta di uno standard del settore.
A causa di un bug, le password venivano registrate in un log che veniva utilizzato a scopi interni prima che il processo di codifica fosse completato. Siamo stati noi stessi a trovare questo errore, rimuovere le password e implementare delle precauzioni affinché questo bug non si manifesti nuovamente.
Ci uniamo a Twitter nel consigliarvi di modificare la password scegliendone una molto complessa (meglio se usaste un password manager).