A még mindig talpon álló és sokak által kedvelt mikroblog-oldal, a Twitter tegnap hivatalos közleményt adott ki a felhasználók figyelmeztetésére, ezzel párhuzamosan bejelentkezéskor minden felhasználó találkozik egy külön üzenettel is. Ebben egy biztonsági kockázatra hívják fel a figyelmet. Ez önmagában – és a Twitternél sem – szokatlan, de ami különösen érdekessé teszi, az az, hogy kivétel nélkül minden felhasználót érint, vagyis több mint 330 millió fiókot.
A tájékoztatás szerint egy olyan hibát fedeztek fel, melytől minden biztonsági szakembernek feláll a hátán a szőr: egy belső logolási mechanizmus állítólag szövegesen tárolta a felhasználók jelszavait, holott ez a felhasználási feltételek szerint tilos, a vállalat munkatársai sem láthatják a jelszavakat. A hibát kijavították, az eddigi vizsgálat alapján nem találtak bizonyítékot arra, hogy bárki is visszaélt volna vele.
Ugyanakkor elővigyázatosságból arra kérnek mindenkit, hogy haladéktalanul változtasson jelszót – különösen azok ügyeljenek – hangzik a megszokott figyelmeztetés –, akik a Twitter-jelszavukat máshol is használták, ugyanis ha mégis hozzáfért valaki, automatizmusokkal végigtesztelheti a fontosabb internetes szolgáltatásokat.
A hiba jellegéről leírják, hogy a kvázi szabványnak tekinthető bcrypt segítségével végzik a titkosítást, a hash előállítását, de valamilyen hiányosságnak köszönhetően a felhasználó által megadott jelszó plain text formában rögzítésre került egy naplófájlban, mielőtt a titkosítás megtörtént volna. A hibát a Twitter szakemberei fedezték fel, akik eltávolították a rögzített jelszavakat, majd átírták a kódot.
A vállalat minden felhasználójától elnézést kért a történtek miatt.