Twitter a appelé ses 330 millions d’utilisateurs à modifier immédiatement leurs mots de passe après qu’un bug les a exposés en texte brut. Alors que l’enquête de Twitter a montré qu’il n’y avait aucune preuve de violation ou de mauvaise utilisation des mots de passe, la société a recommandé à ses utilisateurs de modifier leurs mots de passe Twitter avec une « grande prudence », tant sur le site que partout ailleurs.
Selon Twitter, ce bug s’est produit en raison d’un problème au niveau du processus de hachage des mots de passe (fonction qui consiste à générer une empreinte du mot de passe fourni et qui est stockées sur le système de Twitter pour permettre l’authentification des utilisateurs).
Mais en raison d’une erreur avec le système, il semble que les mots de passe étaient enregistrés en texte brut dans un journal (log) interne. Toujours selon Twitter, le communiqué publié sur le Blog du réseau social indique que ce sont les ingénieurs de Twitter qui ont retrouvé le bug et ont procédé à la suppression totale de ces mots de passe tout en poussant les investigations pour que ce bug ne se reproduit plus.
Twitter est resté superflu sur ce problème en évitant d’indiquer depuis quand le bug existait ou combien de temps ça a pris à ses ingénieurs pour le corriger. Par ailleurs, le nombre des utilisateurs dont les mots de passe étaient exposés en clair n’a pas été avancé mais le fait qu’il recommande à tous les utilisateurs de modifier leurs mots de passe indiquerait qu’un nombre assez important d’utilisateurs sont concernés.
Pour changer votre mot de passe et en générer un nouveau, vous pouvez utiliser l’outil Password.tn qui vous permet de générer un mot de passe avec plusieurs choix de complexité. Pour une meilleure sécurité et lors de choix d’un mot de passe, il est recommandé d’utiliser des majuscules et minuscules, des chiffres et des lettres ainsi que des caractères spéciaux. Password.tn vous permet de générer un tel mot de passe.
We are sharing this information to help people make an informed decision about their account security. We didn’t have to, but believe it’s the right thing to do. https://t.co/yVKOqnlITA
— Parag Agrawal (@paraga) May 3, 2018
No Comment