Twitter oppfordrer alle brukerne til å bytte passord etter at selskapet, angivelig på grunn av en feil, har lagret alle passordene i klartekst.
Passordene skal ikke har blitt lekket eksternt, men har vært tilgjengelige for ansatte i selskapet.
I utgangspunktet lagrer Twitter brukerpassordene i henhold til anbefalingene, det vil si at de hashes før de lagres. Selskapet bruker hash-algoritmen bcrypt til dette.
Problemet er at selskapet har mellomlagret de virkelige passordene i en intern logg før de har blitt hashet, uten å slette dem igjen. Det er ikke oppgitt om det i loggen er blitt lagret informasjon som faktisk knytter passordene til den enkelte brukeren, men det må anses som sannsynlig.
Uklar årsak
Twitter har i blogginnlegget ikke forklart hvorfor denne lagringen i det hele tatt har blitt gjort. Hashing kan gjøres uten mellomlagring av selve passordet i annet enn systemminnet til datamaskinen.
Twitter opplyser ikke hvor mange av brukernes passord som er berørt av dette, men trolig dreier det seg om et stort antall siden selskapet nå anbefaler alle brukerne å bytte passord.
– De viktigste spørsmålene er hvor lenge Twitter har lagret dette passord på en slik uegnet måte og hvor mange passord som har blitt lagret i klartekst. Twitters varsling av hendelsen til sluttbrukerne er rosverdig, men Twitter har av en eller annet grunn utelatt disse vesentlige detaljene, skriver Ilia Kolochenko, administrerende direktør for IT-sikkerhetsselskapet High-Tech Bridge, i en kommentar til digi.no.
Gjør tiltak
I blogginnlegget skriver Twitter at det er selskapet selv som har oppdaget feilen og at det skal gjøres tiltak for å unngå et slikt skjer igjen.
Selskapet mener det ikke er noen grunn til å tro at informasjonen har bli misbrukt, men kan nødvendigvis ikke garantere det.
Anbefalingen fra Twitter er at brukerne nå benytter anledningen til å skifte til en sterkt og unikt passord. I tillegg bes de aktivere to-faktor autentisering slik at det ikke er tilstrekkelig bare med brukernavn og passord for å logge seg inn på kontoen.
Saken er oppdatert med en kommentar fra Ilia Kolochenko.