”BUONA giornata della sicurezza”, viene da dire. Perché nel World Password Day, giorno scelto da Intel per sensibilizzare sulla sicurezza della rete, le “chiavi segrete” di oltre 330 milioni di utenti di Twitter risultano essere a rischio. Un allarme che interessa la maggior parte degli utenti, visto che Twitter ne conta 336 milioni attivi.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 maggio 2018
La notizia arriva dalla piattaforma social che ha allertato gli utenti invitando a cambiarle, pur precisando che si tratta “di un eccesso di prudenza”. Secondo quanto rivelato, si sarebbe registrato un problema tecnico nella rete interna della società. In particolare, un errore tecnico nel sistema di memorizzazione delle password.
La falla è stata individuata nel sistema di “hashing” che permette alla piattaforma di convertire le password inserite dagli utenti in sequenze casuali di numeri, così da velocizzare il processo di convalida da parte del sistema stesso al momento dell’accesso.
·LEGGIEmail, 10 consigli per proteggere il tuo account
“Recentemente – si legge nel post – abbiamo trovato un bug che memorizzava le password smascherate in un log interno. Abbiamo corretto il baco e non abbiamo indicato alcuna violazione o uso improprio da parte di nessuno, per precauzione, prendi in considerazione la possibilità di modificare la password su tutti i servizi in cui hai utilizzato questa password”. Un’operazione che l’utente può eseguire modificando le credenziali di accesso nella pagina deputata del servizio.
Condividi
“Credo sia stato un errore banale”, racconta Marco Ramilli a capo della Yoroi, azienda di Bologna specializzata in sicurezza. “Stavano controllando un aggiornamento e probabilmente hanno ecceduto nel rendere palesi alcuni passaggi come la lista delle parole chiave. Son cose che possono capitare, soprattutto quando si è programmatori all’inizio della carriera. Il problema è che se succede su una piattaforma come Twitter l’incidente può avere conseguenze gravi. Un utente impiega un minuto a cambiare la password, ma il social network è pieno di reti di bot e di account gestiti in automatico. Migliaia se non milioni di profili che ora potrebbero cadere nelle mani sbagliare perché reimpostare tutte quelle parole chiave è un processo lungo”.
In realtà, precisa Twitter, non ci sono elementi per ritenere che le password possano essere state violate, ma si raccomanda di intervenire “urgentemente” modificando le proprie credenziali d’accesso. “Il problema è stato risolto”, avverte comunque la società.
We recently discovered a bug where account passwords were being written to an internal log before completing a masking/hashing process. We’ve fixed, see no indication of breach or misuse, and believe it’s important for us to be open about this internal defect. https://t.co/BJezo7Gk00
— jack (@jack) 3 maggio 2018
Quattro i consigli per mettere il proprio account a riparo:
·Cambia la password che usi su Twitter e su altri servizi, se è la stessa
·Utilizza una password “sicura” che non usi per altri siti web o servizi
·Abilita la verifica del login, nota anche come accesso ”a due fattori”. E’ la cosa migliore che puoi fare per mettere in sicurezza il tuo account
·Utilizza un ”password manager” per essere certo di avere una password unica e sicura
L’incidente ha avuto però ripercussioni in Borsa. Twitter è infatti calato nelle contrattazioni after hours, dove arriva a perdere oltre l’1% dopo rivleato la falla e invitato gli utenti a modificare le credenziali di accesso.