ハッカーは4億のTwitterアカウントを売りに出していると主張

最近、ハッカーがツイッターアカウント４億件分のデータを入手し、売りに出していると主張しているが、セキュリティ企業がデータの検証に取り組んでいる。

「Ryushi」というユーザーがBreachedハッキングフォーラムに投稿したこのデータダンプには、2021年にAPIの脆弱性を利用してスクレイピングされた公開データと非公開データが含まれているとされており、この脆弱性はすでに修正済みです。Ryushiはこのデータの入手に20万ドルを要求しています。

リュシ氏は、マーク・キューバン氏、ドナルド・トランプ・ジュニア氏、アレクサンドリア・オカシオ＝コルテス氏など、著名人のサンプルデータを投稿に含めました。ユーザープロフィールには、メールアドレス、氏名、ユーザー名、フォロワー数、電話番号などのデータが含まれています。

ハッカーはBleepingComputerに対し、データを特定の買い手にのみ販売し、その後削除すると述べた。買い手が見つからない場合は、複数の人に1枚あたり6万ドルで販売する予定だ。Ryushi氏によると、Twitterに連絡したものの返答はなかったという。おそらく、社内の特定のチームが解雇されたためだろう。

APIの脆弱性

Ryushi氏はBleepingComputerに対し、Twitterが2022年1月に修正したAPIのバグを利用してデータを収集したことを認めた。同じ脆弱性は以前、2021年に発生した別のデータ侵害にも関連していた。

この脆弱性により、攻撃者は電話番号とメールアドレスのリストを API に挿入し、それに応じて関連する Twitter ユーザー ID を受け取ることができます。

「540万件のデータ漏洩に使われたものと同じエクスプロイトを使ってアクセスできました。販売者に確認したところ、Twitterのログインフローで発生したとのことです」とRyushi氏は述べた。「つまり、重複チェックでユーザーIDが漏洩したので、別のAPIを使ってユーザー名などの情報に変換したのです。」

脅威インテリジェンス企業Hudson Rockによると、データベースに4億人のユーザーが含まれていることを現時点で完全に確認することは不可能とのことです。しかし、データ自体は正当なものであるように思われるとのことです。

安全を保つ方法

セキュリティを最大限に高めるには、Twitterユーザーはアカウントのメールアドレスを変更する必要があります。特に「Hide My Email」などのサービスを利用しましょう。また、パスワードの使い回しを避け、BitwardenやiCloud Keychainなどのパスワードマネージャーを使って複雑なパスワードを生成することも重要です。

二段階認証によるセキュリティ強化は、次の対策として検討すべきです。二段階認証では、ユーザー名とパスワードに加えて、特別なワンタイムコードでアカウントにログインする必要があります。Twitterには、その方法についての説明が掲載されています。

ユーザーは、疑わしいメールには注意し、リンクをクリックしたり添付ファイルを開いたりしないよう注意する必要があります。例えば、メールにTwitterのパスワード変更リンクが含まれている場合は、Twitterのウェブサイトへ手動でアクセスし、アカウント設定でログイン情報を変更する必要があります。