Twitter poinformował w oficjalnym komunikacie, że w wyniku błędu, część haseł mogła zostać przypadkowo zapisana w wewnętrznych logach firmy w formie zwykłego tekstu (plaintext).
W normalnych okolicznościach, w momencie logowania się użytkownika do serwisu, hasło powinno zostać zamaskowane przy użyciu funkcji skrótu (Bcrypt), co uniemożliwiłoby odczyt. Niestety w wyniku błędu[1] hasło było zapisywane przed zakończeniem tworzenia skrótu Bcryptem. Twitter poinformował również, że błąd został znaleziony w wyniku wewnętrznego audytu i na chwilę obecną nie ma żadnych informacji by jakikolwiek użytkownik ucierpiał w wyniku nieprawidłowego przechowywania hasła.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) May 3, 2018
[1] https://www.bleepingcomputer.com/news/security/twitter-admits-recording-plaintext-passwords-in-internal-logs-just-like-github/