La compañía insta a los usuarios a actuar "por exceso de precaución"
Twitter alentó el jueves a sus más de 330 millones de usuarios a cambiar sus contraseñas luego de que la compañía descubriera un error que revelara las contraseñas en forma no cifrada en un registro interno.
Twitter dijo en una publicación de blog que "no tenemos motivos para creer que la información de contraseñas haya salido de los sistemas de Twitter o haya sido mal utilizada por nadie". Pero la compañía instó a los usuarios a actuar "por exceso de precaución".
En tweets de la tarde del jueves, el director de tecnología de Twitter, Parag Agrawal, se disculpó por el error y dijo: "Estamos compartiendo esta información para ayudar a las personas a tomar una decisión informada sobre la seguridad de su cuenta".
Twitter dijo que descubrió el error y eliminó las contraseñas. La compañía no dijo cuándo descubrió el error.
En 2011 Twitter finalizó un acuerdo con la Comisión Federal de Comercio estadounidense sobre las acusaciones de que los "graves fallos" de la compañía en la seguridad de los datos "permitieron a los piratas informáticos obtener el control administrativo no autorizado de Twitter", según un comunicado de la FTC. Como parte del acuerdo, Twitter debería mantener un "programa integral de seguridad de la información" que se evaluará de forma independiente cada dos años durante 10 años.
Dichas evaluaciones de seguridad de datos han sido objeto de escrutinio en las últimas semanas, luego del enredo de Facebook con una consultoría política que accedió indebidamente a los datos de 87 millones de usuarios. Las evaluaciones de Facebook no parecen detectar el incidente.
Este es el email completo que nos ha llegado de Twitter:
Hola, @apanados:
Cuando estableces una contraseña para tu cuenta de Twitter, recurrimos a la tecnología para ocultarla a fin de que ninguna persona de la empresa pueda verla. Recientemente, descubrimos un error que guardaba las contraseñas no ocultas en un registro interno. Hemos corregido el error y nuestra investigación demuestra que ninguna persona incumplió las reglas ni hizo un uso indebido de la información.
Para mayor seguridad, te recomendamos que cambies tu contraseña en todos los servicios donde la utilizaste. Puedes cambiar tu contraseña de Twitter en cualquier momento yendo a la página de configuración de contraseñas.
Sobre el error
Ocultamos las contraseñas a través de un proceso de hash que utiliza una función conocida como bcrypt, mediante lo cual la verdadera contraseña se reemplaza por un conjunto aleatorio de números y letras que se guardan en el sistema de Twitter. Esto permite que nuestros sistemas validen las credenciales de tu cuenta sin revelar tu contraseña. Este es un estándar de la industria.
Debido a un error, las contraseñas se escribían en un registro interno antes de que se completara el proceso de hash. Nosotros mismos descubrimos este error, eliminamos las contraseñas y comenzamos a implementar planes para evitar que este error se vuelva a producir.
Consejos sobre la seguridad de la cuenta
Recuerda que si bien no hay motivo para pensar que la información sobre la contraseña salió de los sistemas de Twitter o que alguna persona hizo un uso indebido de ese dato, hay algunas medidas que puedes tomar para ayudarnos a mantener tu cuenta segura:
1. Cambia tu contraseña en Twitter y en cualquier otro servicio donde hayas podido utilizarla.
2. Utiliza una contraseña segura que no vuelvas a utilizar en otros servicios.
3. Habilita la verificación de inicio de sesión, también conocida como autenticación de dos factores. Esta es la mejor medida que puedes tomar para aumentar la seguridad de tu cuenta.
4. Utiliza un administrador de contraseñas para asegurarte de que usas contraseñas seguras y únicas en todos los servicios.
Lamentamos mucho que esto haya ocurrido. Valoramos la confianza que depositas en nosotros y, por ello, nos comprometemos a ganárnosla día tras día.
Equipo de Twitter