Twitter urge a que se cambien las contraseñas debido a un fallo de seguridad

  • Vulnerabilidades

Sin dar cifras ni información sobre periodos de tiempo, la red social estaba almacenando contraseñas en texto plano dentro de su red.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Más de 300 millones de usuarios de todo el mundo deben cambiar sus contraseñas de Twitter después de que la red social, propiedad de Facebook, advierta que algunas se almacenan en texto plano dentro de la red de la compañía, que no ha ofrecido información sobre la cifra de usuarios afectado o el tiempo que este fallo está activo.

No deja de ser curioso que la alerta se produzca tan sólo un día después del World Password Day. En todo caso, Twitter ya ha solucionado el fallo y asegura que no tiene constancia de que haya habido una brecha que haya dejado expuestas las contraseñas.

“Enmascaramos las contraseñas a través de un proceso llamado hash usando una función conocida como bcrypt, que reemplaza la contraseña real con un conjunto aleatorio de números y letras que se almacenan en el sistema de Twitter. Esto permite que nuestros sistemas validen las credenciales de su cuenta sin revelar su contraseña. Este es un estándar de la industria”, explica en un post el CTO de Twitter, Parag Agrawal, añadiendo que debido a un error, “las contraseñas se escribieron en un registro interno antes de completar el proceso de hash. Encontramos este error nosotros mismos, eliminamos las contraseñas y estamos implementando planes para evitar que este error vuelva a suceder”.

Y ya de paso, Agrawal aconseja a los usuarios que cambien su contraseña de Twitter, elijan una nueva y fuerte y no la reutilizarla en ninguna otra cuenta. También insta a los usuarios a usar un administrador de contraseñas para crear una contraseña única, almacenarla de forma segura y habilitar la verificación de inicio de sesión para mayor seguridad.

Para Gerhard Giese, Gerente de Ingeniería de Soluciones de Seguridad de Akamai, “cuando 330 millones de contraseñas se han visto potencialmente comprometidas de una sola vez, no es extraño pensar que el abuso de credenciales está muy extendido hoy en día. Si las empresas quieren mostrar a sus clientes que son organizaciones responsables que se toman en serio la protección de datos, deben ayudar a protegerse a sus usuarios mediante la implementación de sólidas estrategias de administración de credenciales y bots. Las empresas deben partir de la suposición de que sus clientes usan las mismas credenciales en varios sitios y que uno de esos sitios se habrá visto comprometido. A partir de ahí, pueden centrarse en evaluar si las personas reales están realizando intentos de inicio de sesión; y si esas personas reales son, de hecho, las personas que dicen ser. Conceder acceso a cualquier intento de inicio de sesión utilizando la combinación correcta de correo electrónico y contraseña ya no es un comercio responsable”.