Un grave problema di sicurezza è stato scoperto nel modo in cui Twitter gestisce le proprie password ed il problema è improvvisamente deflagrato tra le mani del gruppo. A rischio ci sarebbero oltre 300 milioni di account, le cui password potrebbero essere finite nelle mani di malintenzionati e sfruttate in vario modo.
Onore alla trasparenza: in questo caso l’azienda ha gestito al meglio il problema segnalando immediatamente quanto accaduto, diramando i dettagli del bug e chiedendo ad ogni singolo utente di risolvere alla radice la situazione modificando la propria password di accesso. Rimangono tuttavia lecite perplessità per quanto accaduto: l’errore appare tanto superficiale da mettere in forse l’intera struttura di quello che è uno dei principali social network al mondo, probabilmente uno dei più utilizzati da personaggi noti e sicuramente quello più citato sui media mainstream.
Il bug che svela le password
Il problema, così come spiegato da Twitter nell’apposito post, è in un sistema di log interno che avrebbe archiviato in chiaro tutte le password degli utenti loggati. Sebbene il network sia programmato per nascondere le pass anche agli sviluppatori interni, ed a gestirle attraverso un meccanismo di hashing che nasconde la password in ogni passaggio, un file di log avrebbe archiviato le password stesse consentendo potenzialmente ad un malintenzionato di trafugarle in blocco.
Il gruppo spiega di aver trovato in proprio il bug senza il coinvolgimento di alcuno all’esterno dell’azienda: immediatamente il sistema che cela le password alla vista di terzi è stato corretto, eliminando i contenuti presenti nel log (i dettagli di qualcosa come 336 milioni di account) e mettendo in atto le necessarie operazioni affinché tale errore non possa più ripetersi in futuro. Al momento non si segnala alcun abuso del file contenente le password, il che dovrebbe lasciar dormire sonni tranquilli a milioni di utenti di tutto il mondo.
Per maggior cautela, Twitter chiede tuttavia a tutti di modificare la propria password, invalidando così l’eventuale furto di informazioni che possa essere malauguratamente accaduto e difendendo in modo proattivo il proprio account. Il gruppo consiglia altresì di abilitare il meccanismo di autenticazione a doppio fattore, cosa che consente una maggior garanzia sul controllo del proprio profilo.
«Ci spiace molto per quanto accaduto», chiude Twitter: «apprezziamo la fiducia che riponete nei nostri confronti e ci impegniamo al fine di guadagnarci questa fiducia ogni singolo giorno». Il consiglio per ogni singolo utente è quello di verificare il proprio account, modificare la propria password ed approfittare dell’occasione per adottare una password sufficientemente sicura.