Twitter ha recomendado a sus más de 330 millones de usuarios que cambien sus contraseñas de acceso a sus cuentas después de detectar un fallo de seguridad.
"Recientemente hemos encontrado un bug que almacenaba contraseñas desenmascaradas en un log interno. Hemos arreglado el bug y no tenemos indicios de una violación o mal uso por parte de nadie", ha explicado la red social, que ha dicho "lamentar" lo ocurrido.
Según ha explicado, la propia compañía fue la que detectó un error que guardaba las contraseñas no ocultas en un registro interno –las contraseñas se escribían en un registro interno antes de que se completara el proceso de hash para ocultarlas– y que, según señala, ya ha sido solventado.
La investigación abierta por la compañía demuestra que "ninguna persona incumplió las reglas ni hizo un uso indebido de la información". Asimismo, Twitter subraya que ha eliminado las contraseñas y ha comenzado a implementar planes para evitar que este error se vuelva a producir.
No obstante, como precaución, Twitter pide cambiar sus contraseñas en todos los servicios en los que haya usado esta contraseña. Igualmente, recomienda que ésta sea segura y no se vuelva a utilizar en otros servicios.
Asimismo, recomienda habilitar la verificación de inicio de sesión, también conocida como autenticación de dos factores o utilizar un administrador de contraseñas para asegurarte de que usas contraseñas seguras y únicas en todos los servicios.
Error en el proceso de encriptación de las contraseñas
Twitter ha detectado un error en el proceso de encriptación que almacenaba contraseñas de forma errónea en texto sin formato dentro de los registros internos de la compañía. En un comunicado publicado en el blog oficial, el responsable de Tecnología, Parag Agrawal, ha asegurado que ya han corregido el fallo.
Agrawal ha informado, asimismo, de que la compañía ha iniciado una investigación para esclarecer lo ocurrido, pero que no han encontrado indicios de "filtración o uso inapropiado por parte de nadie". Como medida de precaución, ha instado a los usuarios de la red social a modificar sus contraseñas y asignar una nueva que sea exclusiva para su perfil de Twitter.
El proceso de encriptar contraseñas que emplea Twitter se conoce como hashing y que consiste en reemplazar la contraseña introducida por el usuario por un conjunto aleatorio de números y letras que posteriormente se almacenan en el sistema. Este proceso permite validar las credenciales sin que la contraseña sea revelada, como ha apuntado Parag Agrawal.
De acuerdo con este proceso, el error hizo que las contraseñas se escribieran en un registro interno antes de que finalizara el proceso de hashing. Una vez encontrado, la compañía procedió a la eliminación de dichas contraseñas y a la implantación de futuras estrategias que eviten una situación similar en el futuro, según ha aclarado Agrawal.