Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事、 ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。