Wachtwoorden van alle Twitter-gebruikers tijdelijk onbeschermd
Twitter verklaart dat het ondertussen het probleem heeft opgelost, maar tot voor kort zaten de wachtwoorden van zijn 330 miljoen gebruikers in plain text opgeslagen in een intern bestand. Hierdoor had iemand met slechte bedoelingen op heel eenvoudige wijze een boel wachtwoorden kunnen stelen. Volgens Twitter zijn er echter geen aanwijzingen dat dat inderdaad gebeurd is. Het bedrijf raadt zijn gebruikers wel aan om hun huidige wachtwoord te veranderen, voor de zekerheid.
Het bedrijf zegt dat een bug in het encryptieproces aan de bron lag van het lek. Twitter maakt gebruik van het protocol bcrypt om wachtwoorden te ‘hashen’, dat is jargon voor het encryptieproces waarbij je wachtwoord wordt vervangen door een code van willekeurige nummers en letters. Die encryptie beschermt je wachtwoorden tegen diefstal: het neemt zoveel tijd in beslag om één bcrypt-wachtwoord te kraken, dat het voor hackers niet rendabel is om zich daaraan te zetten. Door een bug in het systeem werden Twitter-wachtwoorden echter vóór het hashen in een intern bestand bewaard, zonder bescherming dus.
Het was Twitter zelf die de bug op het spoor kwam. “We delen deze informatie om mensen te helpen met een geïnformeerde keuze te maken over de beveiliging van hun account. We hadden dit niet moeten doen, maar we geloven dat dit de juiste actie is,” tweette Twitter CTO Parag Agrawal over het incident.
