ウィリアム・ギャラガー
· 1分で読めます
ツイッター
2022年初頭に発見されたTwitterのセキュリティ脆弱性が悪用され、540万人のユーザーのアカウント詳細が収集され、ハッカーはそのセットを売りに出している。
2021年8月に被害に遭ったT-Mobileの顧客4億7800万人と比較すると、540万人のユーザーへのハッキングは小規模だ。同月後半に被害に遭ったAT&Tのユーザー7000万人と比べてもさらに小規模だが、この件ではAT&Tは盗まれたデータが自社のサーバーからのものではないと否定している。
しかし、 Restore Privacyによると、現在売りに出されているハッキングされたデータは、2022年1月に報告された脆弱性に起因するとのことだ。Twitterは、これが正当なセキュリティ問題であることを認め、発見者である「zhirinovskiy」に5,040ドルの報奨金を支払った。
「HackerOneユーザーzhirinovskiyが1月の最初のレポートで述べた通り、脅威アクターが現在、この脆弱性から取得したとされるデータを販売しています」と、Restore Privacyのスヴェン・テイラー氏は述べています。「この投稿は現在も公開されており、540万人のユーザーを含むとされるTwitterデータベースが販売されています。」
「ハッキングフォーラムの販売者はユーザー名を『悪魔』としている」とテイラー氏は続ける。「データセットには『有名人、企業、無関係な人、OGなど』が含まれていると主張している」
「このデータベースの販売者に連絡を取り、追加情報を収集しました」とテイラー氏は述べた。「販売者はこのデータベースに対し、少なくとも3万ドルを要求しています。販売者によると、このデータベースは現在『Twitterの無能さ』により入手可能となっています。」
販売者は、Breach Forumsというサイトにデータについて投稿しました。Restore Privacyによると、フォーラムの所有者は漏洩の真正性を確認したとのことです。
入手可能なデータのサンプルは、Breach Forums の投稿に含まれています。公開されている Twitter プロフィール情報に加え、ログインに使用された電話番号やメールアドレスも表示されているようです。
出典: プライバシーの回復
パスワードは含まれていないようです。Twitterの「パスワードを忘れた場合」機能で使用できるメールアドレスは含まれていますが、悪意のある人物が当該メールアカウントのログインパスワードに別途アクセスする必要があります。
その結果、ユーザーのアカウントが悪意のある人物によって侵害されるのではないかという懸念は少なくなり、むしろ、そのデータが広告主の悪用のために販売されるのではないかという懸念が高まっています。
Twitterはまだコメントしていない。
