Según explica la red social mediante su blog oficial, Twitter cifra de forma irreversible las contraseñas mediante un proceso de hashing con la función bcrypt que reemplaza el password por un conjunto de caracteres de números y letras que se almacenan en el sistema. Este proceso, un estándar en la industria, permite validar las credenciales de una cuenta sin que el sistema descubra la contraseña, pero un error durante el procedimiento las almacenaba en un registro interno como un texto plano.
“Nosotros mismos encontramos el fallo, eliminamos las contraseñas y se están llevando a cabo planes para evitar que este error vuelva a ocurrir", afirman desde Twitter. La red social no indica cuántas cuentas se han visto afectadas por el fallo de seguridad, pero teniendo en cuenta que el aviso es para todos los usuarios podemos suponer que se trata de un número significativo. Según Reuters no se descarta que las contraseñas estuvieran expuestas durante varios meses.
Además de pedir disculpas, Twitter también recomienda cambiar la contraseña de cualquier otro servicio donde se haya usado la misma que en la red social. Usar una única contraseña en varios sitios es un error, pero desgraciadamente una práctica habitual. Asimismo, la compañía insta a usar la verificación en dos pasos para aumentar la seguridad de la cuenta.