Aanvallers zijn erin geslaagd om toegang tot de systemen van Twitter te krijgen, waarbij mogelijk ook de gegevens van honderdduizenden gebruikers zijn gecompromitteerd. In een blogposting stelt het bedrijf dat het deze week "ongewone toegangspatronen" detecteerde, wat tot de ontdekking van "ongeautoriseerde toegangspogingen" tot de gegevens van Twittergebruikers leidde.

Eén van de aanvallen zou zelfs nog gaande zijn en werd meteen door Twitter afgesloten. Uit onderzoek blijkt dat de aanvallers "mogelijk" toegang tot de gegevens van gebruikers hebben gehad. Het gaat dan om de gebruikersnamen, e-mailadressen, sessietokens en gehashte en gesalte wachtwoorden voor zo'n 250.000 gebruikers.

Als voorzorgsmaatregel is nu besloten om de wachtwoorden van deze gebruikers te wijzigen en de sessietokens voor deze accounts in te trekken. Getroffen gebruikers krijgen van Twitter een e-mail met verdere instructies over het wijzigen van het wachtwoord. Het is nog altijd onduidelijk of er ook daadwerkelijk gegevens zijn buitgemaakt.

Advies
"Hoewel slechts een klein percentage van onze gebruikers mogelijk door deze aanval getroffen is, raden we alle gebruikers aan om deze gelegenheid aan te grijpen om te controleren of ze goede wachtwoordhygiëne volgen, zowel op Twitter als ergens anders op het internet", zegt Bob Lord, directeur Information Security.

Daarbij wordt geadviseerd een wachtwoord van minstens 10 karakters te gebruiken, bestaande uit hoofdletters, kleine letters, getallen en vreemde tekens. Twitter had beter een passphrase kunnen adviseren, een 'wachtwoord' dat uit meerdere woorden bestaat. Passphrases zijn over het algemeen makkelijker te onthouden en lastiger te kraken.

Daarnaast adviseert Twitter ook om Java in de browser uit te schakelen. In eerste instantie adviseerde Twitter om Java op de gehele machine uit te schakelen, maar daar kwam het later op terug door te stellen dat dit alleen in de browser noodzakelijk is.