Setelah audit internal, Twitter mengakui bahwa karena bug dalam mekanisme penyimpanan kata sandinya, secara tidak sengaja mencatat beberapa kata sandi plaintext di log internal.
Pengungkapan ini terjadi setelah GitHub membuat pengumuman serupa, yang menggambarkan insiden serupa.
Sama seperti dalam insiden GitHub, kata sandi pengguna dicatat dalam log server internal Twitter dalam format plaintext.
Bug menulis kata sandi plaintext dalam log
Twitter mengatakan biasanya masker password dengan meneruskannya melalui fungsi hashing bcrypt, dianggap sebagai standar industri di antara raksasa teknologi tinggi.
“Karena bug, kata sandi ditulis ke log internal sebelum menyelesaikan proses hashing,” kata juru bicara Twitter. “Kami menemukan kesalahan ini sendiri, menghapus kata sandi, dan menerapkan rencana untuk mencegah bug ini terjadi lagi.”
Twitter memungkinkan pengguna untuk memutuskan apakah akan mengubah kata sandi atau tidak
Ketika ini terjadi di GitHub, portal repositori kode mengirim email ke semua pelanggan yang terpengaruh dan secara paksa mereset kata sandi untuk semua pengguna yang terpengaruh.
Belum ada pengguna Twitter yang melaporkan menerima email semacam itu, tetapi ada pula yang dipaksa memilih kata sandi baru. Perusahaan juga menerbitkan advisory keamanan di situsnya.
#OpSecCheck
4 realzies pic.twitter.com/eaZme4qnVb— TinFoilSecâ„¢ (@oo0sn3rp0oo) May 3, 2018
Twitter tidak melihat ini sebagai masalah keamanan besar, dengan alasan bahwa sistemnya tidak pernah dilanggar dan hanya segelintir karyawan yang mungkin telah melihat kata sandi yang terekspos.
“Investigasi kami tidak menunjukkan indikasi pelanggaran atau penyalahgunaan oleh siapa pun,” kata Twitter.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) May 3, 2018
