Las filtraciones de contraseñas son algo que por desgracia se da con demasiada frecuencia en la industria. En la base de datos de haveibeenpwned se encuentran miles de millones de nombres de usuario y contraseña de hackeos como el de MySpace, LinkedIn, Adobe o Badoo. Ahora, Twitter podría sumarse a esta peligrosa lista, donde sus 336 millones de usuarios podrían haber visto filtrada su contraseña.

Twitter ha estado almacenando en texto plano todas las contraseñas de sus usuarios

Así acaba de anunciar la red social en su cuenta oficial de soporte. Twitter ha afirmado que un “fallo” en su manera de gestionar las contraseñas las llegó a almacenar en texto plano en un registro interno, de tal manera que cualquier persona que tuviese acceso a ese archivo tendría acceso a los nombres de usuario y contraseña de todos los perfiles de la red social.

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ

— Twitter Support (@TwitterSupport) May 3, 2018

Twitter ha aprovechado el post del blog donde han alertado de este fallo para recordarnos cómo se cifran las contraseñas. El proceso, grosso modo, consiste en reemplazar el texto que introducimos a una serie de números y letras conocido como hash. Este hash se genera con una función, que en el caso de Twitter es bcrypt. El contenido cifrado con esta protección es invulnerable a hackeos directos, y sólo se puede acceder a su contenido si se tiene la llave.

Cuando ponemos la contraseña al acceder a Twitter, en realidad la red social no sabe el contenido de nuestra contraseña, sino que el texto que introducimos lo convierte a hash, y comprueba si ese hash se corresponde con el que tienen en su base de datos, dándonos acceso.

Sin embargo, al parecer Twitter ha cometido el “fallo” de guardar un registro interno en texto plano de los nombres de usuarios y contraseña que los miembros de la red social introducían al loguearse antes de que pasaran a convertirse en hashes. Esto es muy extraño, y demuestra que la seguridad de la red social no es tan buena como parecía.

La red social afirma que no han encontrado ningún uso fraudulento de los datos almacenados incorrectamente

Twitter ha afirmado que han sido ellos mismos quienes se han dado cuenta del fallo, y que no ha sido ningún tercero ni se han dado cuenta por encontrar datos filtrados por la Dark Web. En cuanto se dieron cuenta, eliminaron las contraseñas y los registros que tenían todo el texto plano, y han corregido el fallo para evitar que vuelva a ocurrir otra vez.

Twitter no sabe si alguien ha podido hacerse con este archivo, ni durante cuanto tiempo ha estado produciéndose el error. En su investigación interna afirman que no han encontrado ningún uso fraudulento ni ninguna brecha de seguridad.

Sin embargo, cualquier trabajador podría haber tenido acceso a este archivo, y la empresa ha tenido a varios trabajadores descontentos debido a que el año pasado despidió a cientos de ellos. Así, cualquiera podría haberse hecho con esta base de datos y haberla vendido en la Dark Web, y nuestra contraseña podría estar en manos de hackers.

Por ello, Twitter (y nosotros) ha empezado a informar a sus usuarios de que deben cambiar su contraseña lo antes posible como método de precaución, tanto en Twitter como en cualquier otra cuenta en la que usásemos el mismo email y contraseña (algo que no debemos hacer nunca para evitar situaciones como esta). Así, también es recomendable activar la verificación en dos pasos para que cualquier persona que tenga la contraseña no pueda acceder a nuestra cuenta.