Sur son blog, X informe qu'un problème interne aurait exposé certains mots de passe, sans chiffrement, au sein de son réseau interne.
Le bug stockait les mots de passe non masqués dans un journal interne, X indique avoir déjà corriger l'erreur et une enquête interne indique qu'il n'y aurait pas eu de violations ou d'abus. Nous masquons les mots de passe à travers un processus appelé hachage en utilisant une fonction appelée bcrypt, qui remplace le mot de passe réel par un ensemble aléatoire de chiffres et de lettres qui sont stockés dans le système de Twitter. Cela permet à nos systèmes de valider les informations d'identification de votre compte sans révéler votre mot de passe. Ceci est une norme de l'industrie.
En raison d'un bogue, les mots de passe ont été écrits dans un journal interne avant la fin du processus de hachage. Nous avons nous-mêmes trouvé cette erreur, supprimé les mots de passe et implémentons des actions pour éviter que ce bug ne se reproduise.
C'est donc par pure précaution que X vous invite ce soir à modifier votre mot de passe, et de procéder de même pour tous les sites sur lesquels vous utiliseriez le même sésame, afin de ne laisser planer aucun doute. La firme de San Francisco en profite pour rappeler la sécurité supérieure apportée par l'authentification à deux facteurs.
