Twitter did a "github", and leaked password in log

Community Tech Policy & News
1

Hello,
I received this email, in french 17H ago :

Bonjour @REDACTED

Quand vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie afin de le masquer, de telle sorte que personne ne puisse le voir. Nous avons récemment identifié un bug : les mots de passe étaient stockés non masqués dans un journal interne. Nous avons corrigé ce bug, et notre enquête ne montre ni violation ni usage inapproprié.

Toutefois, pour plus de sûreté, nous vous invitons à modifier votre mot de passe sur tous les services où vous l’avez utilisé. Vous pouvez modifier votre mot de passe à tout moment en allant sur la page de paramètres du mot de passe.

À propos du bug

Nous masquons les mots de passe via un processus nommé hachage qui utilise une fonction connue sous le nom de bcrypt. Chaque mot de passe est remplacé par un jeu aléatoire de chiffres et de lettres stocké dans le système de Twitter. Cela permet à nos systèmes de valider les informations d’identification de votre compte sans révéler votre mot de passe. Il s’agit d’une norme du secteur.

En raison d’un bug, les mots de passe ont été enregistrés dans un journal interne avant le processus de hachage. Nous avons découvert cette erreur nous-mêmes et supprimé les mots de passe, et nous mettons en œuvre des mesures pour éviter que ce bug ne se reproduise.

Conseils pour la sécurité de votre compte

Même si n’avons aucune raison de penser que des mots de passe ont été extraits des systèmes de Twitter ou utilisés à mauvais escient par qui ce soit, il existe des mesures que vous pouvez prendre pour nous aider à garantir la sécurité de votre compte :

  1. Modifiez votre mot de passe sur Twitter et sur tout autre service où vous avez peut-être utilisé le même mot de passe.
  2. Utilisez un mot de passe complexe, que vous n’utilisez pas sur d’autres services.
  3. Activez la vérification de connexion, aussi connue sous le nom d’authentification à deux facteurs. C’est la meilleure mesure que vous pouvez prendre pour augmenter la sécurité de votre compte.
  4. Recourez à un gestionnaire de mots de passe pour vous assurer de toujours utiliser des mots de passe fiables et uniques.

Nous sommes vraiment désolés que cela se soit produit. Nous sommes conscients de la confiance que vous nous accordez et nous nous attachons chaque jour à la mériter.

L’équipe Twitter

Basically, a mistake in there log made them record password in clear text for a while…

there is 2, where is the third ?

1 Like
2

This is the interesting part, it say

We recently identified a bug: passwords were stored unmasked in an internal log. We have fixed this bug, and our investigation shows no violation or inappropriate use.

3

Did they require a password change? That’s what I would have done in this situation.

4

They did. Twice. At least in mobile.

5

Here’s what the popup said on my account

I will disagree slightly with you here. I wouldn’t require users to reset their Twitter password. I can’t require users to reset their password for other services they may have reused their Twitter password. I think it is more important to make users aware.

6 
Although we have no reason to believe that passwords have been extracted from Twitter's systems or misused by anyone, there are things you can do to help us keep your account safe:

1.Change your password on Twitter and any other service where you may have used the same password.

Nop, They suggest you might want to do it, but they insisted that it’s no big deal and you shouldn’t worry that much. At least on my mail.

2 Likes
7

Hmm, well then.

8

I just tilted, This is my “Throw away” accounts. I didn’t change my password in at least 3 month. So either :

  • The bug is there since month and only now they find about it

  • The bug isn’t on the password change like github but on the login form, and the amount of people affected is huge !

9

This is my understanding.