Twitter memorizza per sbaglio alcune password degli utenti in chiaro

Durante una procedura di verifica interna, Twitter ha scoperto che alcune password utilizzate dagli utenti per l’accesso alla piattaforma sono state inavvertitamente memorizzate in chiaro nei file di log della società.
La memorizzazione delle password sarebbe diretta conseguenza di un bug, adesso del tutto risolto.

I responsabili di Twitter hanno chiarito che le password non sono mai salvate in chiaro all’interno dei database dell’azienda ma viene fatto ricorso all’algoritmo di hashing bcrypt, divenuto ormai standard tra i “big” del settore.

La presenza del bug ha provocato la memorizzazione in chiaro delle password prima che esse venissero passate all’algoritmo di hashing. “Abbiamo scoperto questo problema autonomamente, abbiamo subito rimosso tutte le password dai nostri file di log e stiamo intervenendo affinché un simile incidente non abbia a ripetersi in futuro“, si fa presente da Twitter.

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ

— Twitter Support (@TwitterSupport) 3 maggio 2018

Un problema simile aveva interessato anche GitHub qualche giorno fa e a scopo meramente precauzionale Twitter invita i suoi utenti a procedere con la modifica delle password.
La sostituzione della password attualmente in uso per l’accesso al social network non deve essere effettuata da tutti gli utenti ma solo da coloro che hanno ricevuto o riceveranno un’email da Twitter.
Twitter è infatti conscia degli account utente cui corrispondono le password memorizzate a livello di file di log e si è quindi attivata per informare gli iscritti interessati dal problema.