venerdì 4 maggio 2018

Allarme Twitter, utenti invitati a cambiare la password: scoperto bug


Twitter ha ammesso che le credenziali di accesso degli utenti sono state archiviate in testo semplice e potrebbero essere state esposte agli strumenti interni dell'azienda. In un post sul blog, il sito di microblogging ha invitato gli utenti a cambiare le loro password. La compagnia sta lavorando ai piani per impedire che questo problema si possa ripresentare. Un'indagine interna ha accertato anche che nessuna password sarebbe stata sottratta. Nonostante ciò Twitter ha invitato i suoi oltre 330 milioni di utenti alla modifica della loro password in via precauzionale e ad abilitare l'autenticazione a due fattori.

Twitter non ha detto quanti account sono stati interessati ma, riporta Reuters, citando una fonte anonima, che il numero di utenti interessati è "sostanziale" e che le password sono state esposte per "diversi mesi".  Twitter ha esortato i suoi oltre 330 milioni di utenti a cambiare le loro password dopo che un problema tecnico ha causato l'archiviazione di alcune di queste in un testo leggibile sul proprio sistema di computer interno piuttosto che mascherate da un processo noto come "hashing". Il social network ha rivelato il problema in un post sul blog e in una serie di tweet giovedì pomeriggio, dicendo che aveva risolto il problema e un'indagine interna non aveva trovato alcuna indicazione che le password fossero state rubate o utilizzate in modo improprio dagli addetti ai lavori. 

"Quando scegliete una password per il vostro account Twitter, utilizziamo una tecnologia che la maschera in modo che nessuno in azienda possa vederla. Di recente abbiamo individuato un bug che memorizzava le password smascherate in un log interno", afferma Twitter in una dichiarazione. "Abbiamo risolto il problema e non ci sono indicazioni di furto o di cattivo uso delle password. Con eccesso di cautela vi chiediamo di considerare di cambiare la password su tutti i servizi per cui l'avete usata", prosegue Twitter. Nel comunicato si legge come l'azienda vada a mascherare "le password con un procedimento denominato hashing usando una funzione conosciuta come bcrypt che sostituisce la password effettiva con una serie casuale di numeri e lettere memorizzati sul sistema di Twitter."

"Ciò consente ai nostri sistemi di convalidare le credenziali dell'account senza rivelare la password. Questo è uno standard del settore. A causa di un bug, le password sono state scritte su un registro interno prima di completare il processo di hashing. Abbiamo riscontrato questo errore da soli, rimosso le password e stiamo implementando piani per evitare che questo problema si ripeta", aggiunge Twitter.  Per precauzione la società consiglia agli utenti di cambiare la password su Twitter e su qualsiasi altro servizio in cui si ha usato la stessa password. Utilizzare una password complessa che non si riutilizza in altri siti Web. Abilitare la verifica dell'accesso, nota anche come autenticazione a due fattori. Questa è la singola azione migliore che è possibile intraprendere per aumentare la sicurezza del proprio account.

Utilizzare un gestore di password per assicurarsi di utilizzare password forti e uniche ovunque. Siamo molto dispiaciuti che questo sia successo. Poi la conclusione: "Siamo molto dispiaciuti che questo sia successo. Riconosciamo e apprezziamo la fiducia che riponete in noi e siamo impegnati a guadagnarci quella fiducia ogni giorno". L'incidente ha avuto ripercussioni in Borsa. La società è infatti calata nelle contrattazioni after hours, dove ha perso oltre l'1 percento, più o meno in corrispondenza con l'annuncio della falla nei sistemi di sicurezza. Una fonte familiare con le indagini in corso ha dichiarato a ZDNet che il registro interno in cui le password utente in chiaro sono state registrate accidentalmente è stato trovato in un luogo oscuro, e si ritiene che la probabilità che qualcuno lo trovasse è abbastanza basso.


Nessun commento:

Posta un commento