Twitter ha emitido un comunicado donde aconseja a sus más de 330 millones de usuarios que "por precaución" cambien inmediatamente su contraseña después de que por error las almacenara en texto plano dentro de su sistema. La compañía afirma que una investigación interna ha descartado que los datos hayan sido robados o utilizados por personas externas. Twitter asegura que los primeros resultados de su investigación señalan que la información no salió de su sistema y por lo tanto no estuvieron filtradas.

• Twitter cifra de forma irreversible las contraseñas mediante un proceso de hashing con la función bcrypt que reemplaza el password por un conjunto de caracteres de números y letras que se almacenan en el sistema.

Twitter ha afirmado que un “fallo” en su manera de gestionar las contraseñas las llegó a almacenar en texto plano en un registro interno, de tal manera que cualquier persona que tuviese acceso a ese archivo tendría acceso a los nombres de usuario y contraseña de todos los perfiles de la red social.

Según explica Twitter en su comunicado, el fallo se debió a un error en el sistema de hashing que enmascara las contraseñas, donde a través de una función conocida como bcrypt, se reemplaza la contraseña real con un conjunto aleatorio de números y letras que se almacenan en la base de datos de la compañía.

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ

— Twitter Support (@TwitterSupport) May 3, 2018

Pues este error hizo que las contraseñas se almacenaran dentro del registro interno antes de pasar por el proceso de hashing, es decir, en texto plano

Twitter no proporcionó detalles más específicos, como el tiempo que estuvieron expuestas las contraseñas o la cantidad real de usuarios afectados. Twitter aconseja a todos sus usuarios, más de 330 millones cambien sus contraseñas

Twitter no sabe si alguien ha podido hacerse con este archivo, ni durante cuanto tiempo ha estado produciéndose el error. En su investigación interna afirman que no han encontrado ningún uso fraudulento ni ninguna brecha de seguridad.

Recomendaciones Comunicado Oficial de Twitter

1. https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

•  Cambie su contraseña en Twitter y en cualquier otro servicio donde haya usado la misma contraseña.
• Use una contraseña segura que no reutilice en otros sitios web. 
• Habilite la verificación de inicio de sesión, también conocida como autenticación de dos factores. Esta es la mejor acción que puede tomar para aumentar la seguridad de su cuenta. 
• Use un administrador de contraseñas para asegurarse de estar usando contraseñas fuertes y únicas en todas partes.

Github también almacenó contraseñas en texto plano en registros internos por error

GitHub alertó recientemente de un fallo similar, donde habían estado almacenando contraseñas también en texto plano por error a algunos de sus usuarios.

Los responsables de GitHub aseguran que solo los usuarios que han recibido el correo para restablecer la contraseña se han visto afectados por este problema de seguridad, por lo que los demás usuarios no tienen de qué preocuparse, ya que sus contraseñas no se han visto expuestas.

 During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.

You can regain access to your account by resetting your passwords using the link below::

https://github.com/password_reset

Fuentes:
https://www.xataka.com/seguridad/twitter-pide-a-sus-mas-de-330-millones-de-usuarios-que-cambien-sus-contrasenas-cuanto-antes-ante-un-fallo-de-seguridad
https://www.adslzone.net/2018/05/03/twitter-cambio-contrasena-hackeo/