Twitter memorizzava le password degli utenti in chiaro (cambiatela!)

Il Social Network di San Francisco incita i propri utenti a cambiare la password dei loro account a causa di un bug riscontrato nel meccanismo di archiviazione.

Questa mattina, mentre prendevo il mio solito caffè robusto, controllando le notifiche del mio smartphone Microsoft, ho aperto Twitter PWA e mi sono trovato, invece della solita Home, un pop-up abbastanza inquietante che mi informava di un bug (scritto chiaramente) interno che memorizzava le password degli utenti in chiaro, non oscurate e visibili (anche questo era scritto chiaramente!) agli impiegati addetti all'archiviazione di file log relativi. Insieme al contenuto, erano presenti i tasti per accedere alle Impostazioni dell'account per modificare la password.

Ancora assonnato e con la voglia (semi-automatica, appena sveglio) di guardare 'ciò che accade' (sì, Twitter è questo, no?), ho chiuso il pop-up e ho iniziato a scrollare la home per informarmi su cosa fosse accaduto durante la notte nel nostro amato pianeta, pensando che l'avviso mi sarebbe stato riproposto, quindi avrei potuto effettuare uno screenshot in seguito per informare i miei lettori ed invitarli a procedere di conseguenza. Di questi tempi, fra scandalo dati e imminente GDPR, di avvisi del genere, all'apertura dei vari social, ne compaiono ogni volta che si accede.
In realtà, il pop-up in questione non mi è stato più presentato (nel frattempo, sono arrivato in ufficio, ho acceso i PC, aperto Twitter PWA anche su desktop e il sito su browser). Per forza, non si parla d'altro in giro! Non c'è bisogno che Twitter me lo ricordi.

Il Social Network ha anche pubblicato un Post sul Blog ufficiale e, ovviamente, Twittato con l'account principale.

In pratica, Twitter afferma che il bug è stato scoperto in autonomia, senza segnalazioni, e che, da indagini condotte internamente, sono certi che i dati degli utenti (in questo caso le password) non sono stati utilizzati in modo improprio dai propri dipendenti né sono 'uscite' al di fuori delle proprie stanze.

Oscuriamo le password attraverso un processo di codifica che utilizza una funzione chiamata "bcrypt", che sostituisce la password effettiva con una serie di numeri e lettere casuali che viene memorizzata nei nostri sistemi. Ciò permette ai nostri sistemi di convalidare le credenziali del tuo account senza rivelare la password. Si tratta di uno standard del settore.
A causa di un bug, le password venivano registrate in un log che veniva utilizzato a scopi interni prima che il processo di codifica fosse completato. Siamo stati noi stessi a trovare questo errore, rimuovere le password e implementare delle precauzioni affinché questo bug non si manifesti nuovamente.

Ok, voi cambiate password e verificate, sempre nella stessa area delle Impostazioni, le autorizzazioni di accesso che avete concesso, eventualmente, ad app esterne al Social.
Speriamo sia tutto qui.
Ah, Buongiorno!

Articolo di HTNovo