Twitter meldt dat het slachtoffer is geworden van een grote hackaanval. Daarbij zijn mailadressen, tokens van sessies en versleutelde wachtwoorden buitgemaakt. Volgens Twitters hoofd informatiebeveiliging Bob Lord zijn 'ongebruikelijke toegangspatronen' op de Twitter-servers ontdekt die leidden tot 'ongeauthoriseerde pogingen om toegang te krijgen tot gebruikersdata van Twitter'.

"Ons onderzoek wijst er op dat de aanvallers mogelijk toegang hadden tot een beperkt aantal gebruikersgegevens - gebruikersnamen, mailadressen, sessietokens en versleutelde en gesalte versies van wachtwoorden - van ongeveer 250.000 gebruikers", aldus Lord. Twitter heeft de wachtwoorden van de getroffen accounts gereset en gebruikers een waarschuwingsmail gestuurd.

Oude accounts

Het lijkt vooral te gaan om accounts uit de eerste twee jaar van Twitter, 2006 en 2007. Alleen naar het account uit begin 2007 van ondergetekende Webwereld-redacteur stuurde Twitter een waarschuwingsmail met een link om het wachtwoord te resetten, niet naar enkele nieuwere accounts.

Twitter raadt behalve een sterk wachtwoord ook aan om Java in de browser uit te schakelen. Java werd recent getroffen door meerdere beveiligingslekken, maar het is niet duidelijk of Java specifiek iets met de aanval op Twitter heeft te maken.

Bcrypt

Ontsleuteling van Twitters wachtwoorden is geen snelle klus, omdat Twitter gebruikmaakt van bcrypt om de wachtwoorden te hashen. Dat is volgens Ars Technica 'goed nieuws', omdat decrypten van wachtwoorden daardoor zeer veel computerkracht vergt.