BT

Les mots de passe de Twitter peuvent être compromis

| par Kevin Ball Suivre 3 Abonnés , traduit par Slim Ouertani Suivre 6 Abonnés le 07 mai 2018. Durée de lecture estimée: 4 minutes |

Une note à nos lecteurs : Suite à vos retours, nous avons développé un ensemble de fonctionnalités qui vous permettent de réduire le bruit, tout en ne perdant pas de vue ce qui est important. Recevez des notifications en ligne et par e-mail en choisissant les sujets qui vous intéressent.

Le 3 mai, Twitter a annoncé avoir découvert et corrigé un bug qui avait entraîné le stockage en clair des mots de passe des utilisateurs dans un log interne. Aucune information n'a été publiée sur le nombre d'utilisateurs concernés et il est recommandé à tous les utilisateurs de changer leur mot de passe et de changer les mots de passe sur tous les services utilisant le même mot de passe. Si tous les utilisateurs étaient en fait compromis, ce serait l'une des plus importantes fuites de données connues dans l'histoire.

Dans le message d'annonce, l'ingénierie de Twitter précise qu'ils n'ont aucune raison de croire que les mots de passe ont été compromis :

Lorsque vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie qui le masque pour que personne ne puisse le voir. Nous avons récemment identifié un bug qui stockait des mots de passe non masqués dans un log interne. Nous avons corrigé le bug, et notre enquête ne montre aucune indication de violation ou d'abus de quiconque.

Par précaution, nous vous demandons d'envisager de modifier votre mot de passe sur tous les services où vous avez utilisé ce mot de passe.

La société présente cela comme une abondance de prudence et d'ouverture délibérée, avec le tweet du PDG de Twitter, Jack Dorsey :

Nous avons récemment découvert un bug dans lequel les mots de passe du compte étaient écrits dans un log interne avant de terminer un processus de masquage/hachage. Nous avons réparé, ne voyons aucune indication de violation ou d'abus, et nous croyons qu'il est important pour nous d'être ouverts à propos de ce défaut interne.

Lors d'un précédent incident de sécurité en 2013, Twitter a pris l'initiative supplémentaire de réinitialiser les mots de passe pour les utilisateurs concernés. L'approche plus consultative plutôt que forcée des mots de passe cette fois-ci peut indiquer qu'ils sont plus confiants dans l'absence de violation. Dans cet incident, ils ont identifié des tentatives de piratage externes et un ensemble d'utilisateurs plus ciblés :

Notre enquête a jusqu'ici indiqué que les attaquants pouvaient avoir accès à des informations utilisateur limitées - noms d'utilisateur, adresses e-mail, tokens de session et versions cryptées/salted de mots de passe - pour environ 250 000 utilisateurs.

Par mesure de sécurité préventive, nous avons réinitialisé les mots de passe et les jetons de session révoqués pour ces comptes.

Même si aucune violation externe n'est survenue, Twitter a déjà été confronté à des questions concernant le niveau d'accès des employés aux comptes d'utilisateurs. En décembre 2017, un employé de support a temporairement supprimé le compte du président Trump. Dans ce cas, les experts ont contesté le niveau de contrôle interne que Twitter avait mis en place. Dans un article sur CNN technology à cette époque, Charles Riley et Rishi Iyengar ont déclaré :

Le fait qu'un travailleur ait pu démonter le compte du président a poussé les gens à se demander si Twitter disposait de contrôles internes appropriés.

Le consensus précoce semble être "non".

Twitter n'a pas indiqué combien de mots de passe ont été stockés dans ce log interne, ni combien d'employés y ont eu accès. Par conséquent, les utilisateurs doivent supposer que tout mot de passe aurait pu être divulgué en texte brut et modifier non seulement leur mot de passe twitter, mais aussi les mots de passe de tous les comptes utilisant le même mot de passe.

Twitter ne rend pas public le nombre d'utilisateurs inscrits, préférant signaler les «utilisateurs actifs mensuels». Cependant, un article de 2016 sur le Motley Fool indique que dans l'appel des investisseurs du troisième trimestre 2016, Twitter a réclamé plus de 700 millions d'utilisateurs actifs par an. En utilisant 700 millions comme un nombre conservateur pour l'ensemble des comptes, une violation de tous les comptes Twitter serait l'une des plus grandes failles de sécurité dans l'histoire. Un récent rapport qui répertorie les principales violations de données montre Yahoo au sommet avec 3 milliards de comptes utilisateurs compromis, suivi par Adult Friend Finder avec 412,2 millions, ce qui mettrait Twitter à la deuxième place en termes de taille, bien qu'une fuite de mots de passe est beaucoup moins percutante qu'une fuite d'informations personnelles, telle que la Fuite d’Equifax en 2017.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

On the off chance by alice brant

On the off chance that you don't get it following a couple of minutes, take a stab at messaging HELP to your Twitter short code to guarantee you are getting SMS notices from Twitter. online assignment help uk On the off chance that you don't get anything back, please audit our SMS investigating page or utilize the email secret key reset choice above.

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

1 Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT