Twitter ha invitato i suoi 330 milioni di utenti il 3 maggio 2018 – tra l’altro il World Password Day – di cambiare le loro password dopo che alcune di esse sono state archiviate come del semplice testo in un registro interno della società a causa di un bug, che non risulta essere stato sfruttato da malintenzionati fortunatamente.
Quando gli utenti di Twitter impostano una password per il loro account viene utilizzata dalla società un metodo di ‘hashing’ che la maschera in modo che nessuno possa vederla, neanche un dipendente dell’azienda stessa. In un post sul blog aziendale, Twitter ha tuttavia spiegato che di recente è stato identificato un bug per il quale venivano memorizzate le password senza essere mascherate in un file di registro interno. Il bug è stato corretto e l’indagine di controllo condotta dalla società non ha mostrato alcuna indicazione di violazioni o uso improprio delle password senza maschera da parte di qualcuno. Tuttavia, Twitter chiede ai propri utenti – tutti – di prendere in considerazione la possibilità di modificare la propria password, non solo in Twitter ma in tutti i servizi in cui è stata utilizzata la stessa password.
E’ possibile cambiare la password del proprio account di Twitter in qualsiasi momento nella pagina delle impostazioni della password.
Riguardo il bug, il CTO di Twitter Parag Agrawal (@paraga) ha spiegato che la società maschera le password degli utenti attraverso un processo chiamato "hashing" utilizzando una funzione nota come bcrypt, che sostituisce la password effettiva con un insieme casuale di numeri e lettere che sono memorizzati nel sistema di Twitter. Ciò consente ai sistemi dell’azienda di convalidare le credenziali dell’account senza rivelare la password. Questo è uno standard del settore. A causa di un bug, tuttavia, diverse password sono state scritte in un registro interno prima del completamento del processo di hashing. Twitter ha riscontrato questo errore da sè, ha quindi deciso di rimuovere le password e di implementare soluzioni per evitare che questo problema si ripeta in futuro.
"Siamo molto dispiaciuti che questo sia successo" ha commentato Agrawal , "Riconosciamo e apprezziamo la fiducia che riponi in noi e ci impegniamo a guadagnare questa fiducia ogni giorno".
Suggerimenti per mantenere sicuro il proprio account di Twitter (ma non solo)
Sebbene Twitter ha spiegato di non avere motivo di credere che le password senza maschera abbiano mai lasciato i sistemi di Twitter o siano state utilizzate in modo improprio da chiunque, ci sono alcuni passaggi che gli utenti possono adottare per proteggere al meglio il proprio account, partendo con il cambiare la propria password su Twitter e su qualsiasi altro servizio in cui è stata utilizzata la stessa password. Quando si sceglie la nuova password è bene che sia complessa e univoca, nel senso che non dovrebbe essere la stessa utilizzata già per un altro sito web. Per una maggiore protezione è anche consigliato attivare l’autenticazione a due fattori, che secondo Twitter "questa è la singola azione migliore che puoi intraprendere per aumentare la sicurezza del tuo account". Se proprio si hanno moltissime password da ricordare è possibile utilizza un gestore di password per assicurarsi di utilizzare password forti e uniche per tutti i siti.