En su blog oficial, Twitter recalca que las contraseñas no fueron extraídas por intrusos, y que el error fue detectado por la propia empresa.
Twitter asegura almacenar las contraseñas de sus usuarios en conformidad con los procedimientos estándares en la industria; es decir que las contraseñas son cifradas antes de ser almacenadas. para tal efecto, la empresa utiliza algoritmo de hash bcrypt.
El problema ocurrió cuando la empresa realizó un almacenamiento intermedio de las contraseñas en una base interna (shadow) antes de cifrarlas, y sin borrarlas posteriormente. Twitter no informa si también almacena información que pudiese vincular las cuentas de los usuarios a sus respectivas contraseñas.
Twitter no proporciona detalles que permitan entender por qué almacena las contraseñas de esta forma, debido a que se trata de un procedimiento no estandarizado y, por cierto, no recomendable. El procedimiento de hashing puede ser realizado sin necesidad de almacenar la contraseña en otro lugar que no sea la memoria del propio sistema.
Twitter tampoco informa cuántas contraseñas se han visto afectadas por el problema. Con todo, es dable suponer que se trata de un número considerable debido a que la empresa recomienda a todos los usuarios cambiar sus contraseñas.
Twitter asegura que no hay razones para suponer que la información haya sido por terceros, aunque no puede dar garantías en tal sentido. La empresa recomienda utilizar contraseñas únicas y complejas, aparte de activar la autenticación de dos factores.
