Twitter przechowywał hasła w plaintext (!) – zmieńcie hasła

Niedawno podobny problem miał GitHub, obecnie Twitter:

We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password.

Po raz kolejny pojawia się dość enigmatyczna fraza „internal log”. Może to się kojarzyć z plikiem tekstowym (jak to log), ale w zasadzie może oznaczać wszystko – łącznie z osobną tabelą w bazie danych czy osobną kolumną w tabeli z użytkownikami (na siłę nazwijmy to 'internal logiem’ :)

Nie mamy dostępnych wielu szczegółów – poza tym, że dodatkowo hasła przechowywane są w bcrypt(), a log został już wyczyszczony (ciekawe czy również z kopii zapasowych?):

Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Twitter poza zmiana hasła, zaleca też konfigurację dwuczynnikowego uwierzytelnienia.

–ms