Twitter demande à tous ses utilisateurs de changer leur mot de passe !

Le par  |  9 commentaire(s)
Twitter-oeuf

Pour tous les utilisateurs de Twitter, il est conseillé de changer de mot de passe en raison de la découverte d'un bug qui a exposé des mots de passe en clair dans un log interne. Pas de fuite de données cela étant.

Surprise pour l'ensemble des 336 millions d'utilisateurs de Twitter avec un compte. Ils sont invités à changer leur mot de passe lors d'une connexion. Selon Twitter, cette demande anxiogène est formulée par " excès de précaution " après la découverte d'un bug.

Dans un journal interne (fichier de log interne sur un serveur), Twitter a découvert que les mots de passe étaient stockés en clair. Twitter évoque un bug faisant que les mots de passe étaient écrits dans ce journal interne avant l'accomplissement du processus de hachage.

Twitter s'appuie sur la fonction de hachage brcypt considérée comme un standard industriel en la matière. Les mots de passe sont ainsi masqués et stockés sous la forme d'une série aléatoire de chiffres et lettres. " Cela permet à nos systèmes de valider les identifiants de votre compte sans dévoiler votre mot de passe. "

Sauf qu'à cause dudit bug, des mots de passe ont été écrits sous forme non masquée dans le système informatique interne de Twitter, sans donc hachage. Dans ses explications, Twitter ne précise pas le nombre d'utilisateurs potentiellement concernés, ni la période de l'incident.

On peut supposer que le log interne (automatisé) a atteint une taille conséquente. Néanmoins, Twitter apporte des éléments rassurants. Outre le fait que le bug a été corrigé et le log nettoyé, Twitter indique que le problème (ou oubli coupable ?) a été identifié par ses soins. Il n'y a " aucune indication d'intrusion ou d'utilisation malveillante par quiconque. "

En clair... pas de fuite de données. Au pire, une poignée d'employés de Twitter ont pu voir des mots de passe en clair. Cela n'empêche pas Twitter de présenter ses plus plates excuses. Évidemment, les utilisateurs sont aussi invités à changer le mot de passe sur d'autres services, s'ils ont la mauvaise habitude de le recycler.

Il y a quelques jours, c'est GitHub qui a reconnu avoir accidentellement enregistré des mots de passe en clair dans ses logs internes pour un petit nombre d'utilisateurs.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2011995
Allo allo y a du cuicui dans l'tuyau...

--->[double expresso]
Le #2012004
Putain mais comment peuvent-ils avoir accès à des mots de passes en clairs sérieusement...
Déjà que des petits sites ne hash pas les mots de passe à l'envoie, c'est déjà pas la joie, mais quand ce sont des Twitter ou Facebook, c'est impardonable
Le #2012007
Safirion a écrit :

Putain mais comment peuvent-ils avoir accès à des mots de passes en clairs sérieusement...
Déjà que des petits sites ne hash pas les mots de passe à l'envoie, c'est déjà pas la joie, mais quand ce sont des Twitter ou Facebook, c'est impardonable


ça laissait des traces dans des journaux systéme avant d'être hashé. Rien à redire sur la partie hashage elle-même.

Les logs c'est le mal
Le #2012008
smartmeister a écrit :

Safirion a écrit :

Putain mais comment peuvent-ils avoir accès à des mots de passes en clairs sérieusement...
Déjà que des petits sites ne hash pas les mots de passe à l'envoie, c'est déjà pas la joie, mais quand ce sont des Twitter ou Facebook, c'est impardonable


ça laissait des traces dans des journaux systéme avant d'être hashé. Rien à redire sur la partie hashage elle-même.

Les logs c'est le mal


Rien à redire ? Si, qu'elle se fait trop tard.
Le #2012009
Votre compte est maintenant désactivé.
Pendant jusqu'à 30 jours, vous pouvez réactiver votre compte en vous connectant.

Affaire classée
Le #2012011
iFlo59 a écrit :

Votre compte est maintenant désactivé.
Pendant jusqu'à 30 jours, vous pouvez réactiver votre compte en vous connectant.

Affaire classée


"Pendant jusqu'à 30 jours" c'est français ça ?

J'aurais dit "Vous avez jusqu'à 30 jours pour réactiver votre compte en vous connectant"
Le #2012029
''Il y a quelques jours, c'est GitHub qui a reconnu avoir accidentellement enregistré des mots de passe en clair dans ses logs internes pour un petit nombre d'utilisateurs.''

Ils prennent vraiment les utilisateurs pour des c...s !!!
Le #2012032
Narcos a écrit :

''Il y a quelques jours, c'est GitHub qui a reconnu avoir accidentellement enregistré des mots de passe en clair dans ses logs internes pour un petit nombre d'utilisateurs.''

Ils prennent vraiment les utilisateurs pour des c...s !!!


A croire que les devs ne savent plus ce qu'ils font...
Le #2012035
Safirion a écrit :

Narcos a écrit :

''Il y a quelques jours, c'est GitHub qui a reconnu avoir accidentellement enregistré des mots de passe en clair dans ses logs internes pour un petit nombre d'utilisateurs.''

Ils prennent vraiment les utilisateurs pour des c...s !!!


A croire que les devs ne savent plus ce qu'ils font...


Meme si ils voulaient le faire, les procédures sont en places pour que ce type ''d'accident'' n'arrive pas.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme