Twitter admite el registro de contraseñas de texto plano en los registros internos, al igual que GitHub
Después de realizar una auditoría interna, Twitter admitió hoy que debido a un error en su mecanismo de almacenamiento de contraseñas, accidentalmente registró las contraseñas de algunos usuarios en los registros internos.
La divulgación de hoy se produce después de que GitHub hiciera un anuncio similar a principios de esta semana, describiendo un incidente similar.
Al igual que en el incidente de GitHub, las contraseñas se registraron en los registros del servidor interno de Twitter en su formato de texto sin formato.
Error al escribir contraseñas en texto plano en los logs
Twitter dijo que normalmente enmascara las contraseñas pasándolas a través de la función hash bcrypt, considerada un estándar de la industria entre los principales gigantes tecnológicos.
"Debido a un error, las contraseñas se escribieron en un registro interno antes de completar el proceso de hash", dijo un portavoz de Twitter. "Encontramos este error nosotros mismos, eliminamos las contraseñas y estamos implementando planes para evitar que este error vuelva a suceder".
Twitter permite a los usuarios decidir si cambiar las contraseñas o no
Cuando esto sucedió en GitHub, el portal de repositorio de códigos envió correos electrónicos a todos los clientes afectados y restableció las contraseñas forzosamente para todos los usuarios afectados.
Ningún usuario de Twitter ha informado haber recibido dichos correos electrónicos, pero algunos se ven obligados a elegir una nueva contraseña. La compañía también publicó un aviso de seguridad en su sitio.
Twitter no ve esto como un gran problema de seguridad, argumentando que nunca se violaron sus sistemas y que solo un puñado de empleados podría haber visto las contraseñas expuestas.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 de mayo de 2018
"Nuestra investigación no muestra indicios de incumplimiento o mal uso por parte de nadie", dijo Twitter.