La loi des séries, c'est quelque chose de terrible :-) Hier nous vous rapportions qu'un bug avait potentiellement compromis les mots de passe de certains utilisateurs de GitHub. Aujourd'hui la même chose se produit avec Twitter. Sauf que cette fois tous les utilisateurs sont concernés.

La similitude entre les deux incidents est vraiment troublante. A croire que les deux entreprises utilisaient exactement le même système et que la découverte du problème chez l'une a réveillé l'autre... Avec GitHub le problème était que les mots de passe, avant d'être cryptés par bcrypt transitaient en clair dans les logs du système. Avec Twitter, le problème est que les mots de passe, quoi que cryptés avec bcrypt, étaient stockés en clair dans un log interne.... :-)

Telle est l'information donnée sur le blog de Twitter, dans un billet qui recommande à tous les utilisateurs de changer leur mot de passe, le bug étant maintenant corrigé.

Twitter (comme l'avait fait GitHub :-) souligne ne pas avoir été piraté ou hacké, et pense qu'aucun mot de pas n'a fuité du système ou a été utilisé à mauvais escient par quelqu'un.

Nous avons nous-mêmes trouvé cette erreur, précise Twitter. C'est exactement ce qu'avait dit GitHub...

Twitter fait son mea culpa : Nous sommes vraiment désolés que cela soit arrivé. Nous reconnaissons et apprécions la confiance que vous nous accordez et nous nous engageons à gagner cette confiance tous les jours.

A quand et chez qui le prochain problème similaire ?