Le 3 mai, Twitter a annoncé avoir découvert et corrigé un bug qui avait entraîné le stockage en clair des mots de passe des utilisateurs dans un log interne. Aucune information n'a été publiée sur le nombre d'utilisateurs concernés et il est recommandé à tous les utilisateurs de changer leur mot de passe et de changer les mots de passe sur tous les services utilisant le même mot de passe. Si tous les utilisateurs étaient en fait compromis, ce serait l'une des plus importantes fuites de données connues dans l'histoire.
Dans le message d'annonce, l'ingénierie de Twitter précise qu'ils n'ont aucune raison de croire que les mots de passe ont été compromis :
Lorsque vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie qui le masque pour que personne ne puisse le voir. Nous avons récemment identifié un bug qui stockait des mots de passe non masqués dans un log interne. Nous avons corrigé le bug, et notre enquête ne montre aucune indication de violation ou d'abus de quiconque.
Par précaution, nous vous demandons d'envisager de modifier votre mot de passe sur tous les services où vous avez utilisé ce mot de passe.
La société présente cela comme une abondance de prudence et d'ouverture délibérée, avec le tweet du PDG de Twitter, Jack Dorsey :
Nous avons récemment découvert un bug dans lequel les mots de passe du compte étaient écrits dans un log interne avant de terminer un processus de masquage/hachage. Nous avons réparé, ne voyons aucune indication de violation ou d'abus, et nous croyons qu'il est important pour nous d'être ouverts à propos de ce défaut interne.
Lors d'un précédent incident de sécurité en 2013, Twitter a pris l'initiative supplémentaire de réinitialiser les mots de passe pour les utilisateurs concernés. L'approche plus consultative plutôt que forcée des mots de passe cette fois-ci peut indiquer qu'ils sont plus confiants dans l'absence de violation. Dans cet incident, ils ont identifié des tentatives de piratage externes et un ensemble d'utilisateurs plus ciblés :
Notre enquête a jusqu'ici indiqué que les attaquants pouvaient avoir accès à des informations utilisateur limitées - noms d'utilisateur, adresses e-mail, tokens de session et versions cryptées/salted de mots de passe - pour environ 250 000 utilisateurs.
Par mesure de sécurité préventive, nous avons réinitialisé les mots de passe et les jetons de session révoqués pour ces comptes.
Même si aucune violation externe n'est survenue, Twitter a déjà été confronté à des questions concernant le niveau d'accès des employés aux comptes d'utilisateurs. En décembre 2017, un employé de support a temporairement supprimé le compte du président Trump. Dans ce cas, les experts ont contesté le niveau de contrôle interne que Twitter avait mis en place. Dans un article sur CNN technology à cette époque, Charles Riley et Rishi Iyengar ont déclaré :
Le fait qu'un travailleur ait pu démonter le compte du président a poussé les gens à se demander si Twitter disposait de contrôles internes appropriés.
Le consensus précoce semble être "non".
Twitter n'a pas indiqué combien de mots de passe ont été stockés dans ce log interne, ni combien d'employés y ont eu accès. Par conséquent, les utilisateurs doivent supposer que tout mot de passe aurait pu être divulgué en texte brut et modifier non seulement leur mot de passe twitter, mais aussi les mots de passe de tous les comptes utilisant le même mot de passe.
Twitter ne rend pas public le nombre d'utilisateurs inscrits, préférant signaler les «utilisateurs actifs mensuels». Cependant, un article de 2016 sur le Motley Fool indique que dans l'appel des investisseurs du troisième trimestre 2016, Twitter a réclamé plus de 700 millions d'utilisateurs actifs par an. En utilisant 700 millions comme un nombre conservateur pour l'ensemble des comptes, une violation de tous les comptes Twitter serait l'une des plus grandes failles de sécurité dans l'histoire. Un récent rapport qui répertorie les principales violations de données montre Yahoo au sommet avec 3 milliards de comptes utilisateurs compromis, suivi par Adult Friend Finder avec 412,2 millions, ce qui mettrait Twitter à la deuxième place en termes de taille, bien qu'une fuite de mots de passe est beaucoup moins percutante qu'une fuite d'informations personnelles, telle que la Fuite d’Equifax en 2017.