domingo, 6 de mayo de 2018
Cambia tu contraseña de Twitter ahora, vulnerabilidad descubierta en el almacenamiento de contraseñas
El jueves, Twitter informo que un error provocó que las contraseñas de las cuentas se almacenaran en texto sin formato en un registro interno.
La compañía dijo que su equipo de expertos en seguridad informática encontró y solucionó el problema, también menciono que su investigación no muestra indicios de mal uso por parte de nadie. La compañía no especificó cuántas contraseñas se vieron afectadas, Reuters calculó más de 330 millones.
“Quiero enfatizar que esto no es una filtración y nuestra investigación no ha mostrado signos de uso indebido”, comento un portavoz de Twitter. “Estamos compartiendo esta información para que todos puedan tomar una decisión sobre la seguridad de su cuenta”, agrego. El vocero no hizo comentarios sobre la vulnerabilidad y cuántos usuarios se vieron afectados.
“…las contraseñas se escribieron en un registro interno antes de completar el proceso de hashing”, dijo Parag Agrawal, CTO de Twitter. “Este error fue encontrado por nuestro equipo de seguridad, eliminamos las contraseñas y estamos implementando planes para evitar que este error vuelva a suceder”.
Todos los usuarios que abrieron sus cuentas el jueves, recibieron un mensaje de Twitter pidiéndoles que tomen en cuenta la posibilidad de cambiar su contraseña en los servicios donde usaron la misma.
Twitter comento que enmascaran las contraseñas mediante hash usando bcrypt, esto reemplaza la contraseña real con un conjunto aleatorio de caracteres almacenados en su sistema. Sin embargo, la vulnerabilidad provocó que las contraseñas se escribieran en el sistema informático interno de la empresa antes de que se completara el proceso de hash.
El experto en seguridad informática Troy Hunt comento: “Los registros a menudo están en gran parte automatizados, pero sin duda es un descuido masivo”, dijo. “Por la misma razón, si el alcance del problema es que las contraseñas se capturaron en los registros internos, los registros no se expusieron y posteriormente lo limpiaron”.
Esta noticia es paralela a otro incidente esta semana, donde Github reveló que había descubierto una vulnerabilidad introducida que exponía una cantidad de contraseñas de los usuarios en texto sin formato. GitHub también usa bcrypt para contraseñas hash, comentaron expertos en seguridad informática.
Twitter llamó la atención a principios de la semana después de revelar que vendió acceso a datos a un investigador vinculado a Cambridge Analytica. Esto aumentaba las preocupaciones de la comunidad de seguridad acerca de cómo las empresas protegen la información privada de los usuarios.