Les 330 millions d’utilisateurs Twitter sont invités à changer leur mot de passe sans tarder. Ils étaient stockés en clair en même temps qu’ils étaient « hachés » via le protocole bcrypt.
Petit billet de blog, grandes conséquences. C’est Parag Agrawal, nouveau Chief Technology Officer de Twitter, qui s’est chargé d’annoncer la nouvelle : les mots de passe Twitter étaient jusqu’à récemment stockés en clair dans un fichier de log à usage interne. Les 330 millions d’utilisateurs du réseau social sont a priori concernés par cette faille désormais corrigée et qui n’aurait pas entraîner de fuite ou de vol de données personnelles. Néanmoins tous les utilisateurs sont invités expressément à changer leur mot de passe et à faire de même sur tous les services pour lesquels ils utilisaient le même mot de passe.
Cette alerte arrive alors qu’il y a seulement quelques jours (mardi dernier) on apprenait que la même mésaventure était arrivée à GitHub mais pour seulement certains utilisateurs de la plateforme. Or GitHub comme Twitter utilise le protocole bcrypt de hachage des mots de passe. Curieuse coïncidence… Problème lié à une mise à jour du protocole ? Mauvaise utilisation de celui-ci ? Il est trop tôt pour le dire. Mais pour GitHub comme pour Twitter seules les équipes internes auraient pu voir le fichier log contenant les mots de passe en clair et aucune fuite de données ne serait à déplorer.