Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている

Hacker selling Twitter account data of 5.4 million users for $30k

2022/07/22 BleepingComputer — Twitter の脆弱性が脅威アクターに悪用されたことで、540万件のアカウントに関する電話番号と電子メールアドレスのデータベースが構築され、そのデータがハッカー・フォーラムで $30,000 で販売されるというデータ侵害が生じている。 昨日に devil と呼ばれる脅威アクターが、このデータベースには有名人/企業/一般的なユーザーを含む、さまざまなアカウントに関する情報が含まれていると、ダークウェブで述べている。

彼は、「脆弱性を介して収集した、複数の Twitter ユーザー (正確には 5,485,636 ユーザー) のデータを紹介する。これらのユーザーには、有名人から企業までがランダムに含まれている」と、そのフォーラムの投稿で記している。

BleepingComputer は、この脅威アクターとの会話で、2021年12月に脆弱性を悪用してデータを収集したと知らされた。現時点において、このデータを $30,000 で販売しており、興味を持った買い手が、すでに接触しているとのことだ。

Forum post selling the scraped Twitter data
Source: BleepingComputer

最初に Restore Privacy が報じたように、データ収集に悪用された脆弱性は、1月1日に HackerOne を通じて Twitter に開示され、1月13日に修正されたものだ。

セキュリティ研究者である zhirinovskiy は、「この脆弱性は、ユーザーがプライバシー設定で、その行為を禁止しているにもかかわらず、電話番号/電子メールを送信することで、任意のユーザーの Twitter ID を、第三者が認証なしで取得できるものだ。Twitter ID の取得は、アカウントのユーザー名を取得することに等しい。このバグは、Twitter の Android クライアントで使用されている認証プロセスや、Twitter アカウントの重複をチェックするプロセスに存在する」と述べている。

しかし、devil は BleepingComputer に対して、zhirinovskiy とは無関係であり、HackerOne を利用したこともないと述べている。彼は、「それを HackerOne 報告したホワイトハットとは無関係だ。多くの人々が、彼と私を結びつけたがっている。きっと、彼は怒るだろう。私は、zhirinovskiy とも、HackerOne とも無関係だ」と述べている。

devil は、この脆弱性へ向けて電子メールアドレスや電話番号をフィードし、Twitter アカウントへの関連付けを判断し、そのアカウントの ID を取得できると語っている。その Twitter ID を武器に、残りの公開データをスクレイピングして、それぞれのユーザーのプロファイルを作成したと思われる。2021年にも、5億3300万人の Facebook ユーザーのアカウント・データがスクレイピングされたが、そのときに類似している。

流出したデータの検証

現時点において Twitter は、このデータ流出を確認しておらず、BleepingComputer に対しては、devil の主張の真偽を調査中であると回答している。

Twitter は、「バグバウンティ・プログラムを通じて、このインシデントに関する報告を、数ヶ月前に受けてから、直ちに徹底的に調査し、脆弱性を修正した。これまでと同様に、Twitter を利用する人々のプライバシーとセキュリティの保護に努めていく。このような潜在的な脆弱性を特定するために、バグバウンティ・プログラムに参加しているセキュリティ・コミュニティに感謝している。この脅威アクターの主張の真偽を確認し、問題のアカウントのセキュリティを確保するために、最新のデータを確認している」と述べている。

しかし BleepingComputer は、ハッカーが共有したデータの小さなサンプルに記載されている Twitter ユーザーの一部に、正確な個人情報 (メールアドレスと電話番号) が含まれていることを確認した。

スクレイピングされたデータに記載されている、少数のユーザーしか確認できなかったため、販売されている 540万アカウントの全てが有効であるかどうかは分からない。

販売されているデータの大半が公開され、確認できるものだとはいえ、メールアドレスと電話番号を悪用すれば、標的型フィッシング攻撃に利用することが可能だ。

したがって、すべての Twitter ユーザーは、Twitter からのメールを受け取る際に、特にログイン情報を入力するよう求められる場合には、正当な Twitter.com で行うよう、警戒する必要がある。

この件に関しては、いろいろな言い分が錯綜していて、事の真相が不透明ですね。とはいえ、サンプルから正確な個人情報が検出されているようなので、油断は禁物です。Twitter に関連するインシデントとしては、2021年12月21日の「インドのモディ首相の Twitter がハッキング:BitCoin の正式採用というデマが流れた」がありますが、2022年5月25日には「米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた」という問題も起こしています。その一方では、3月8日の「Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!」というような頑張りも見せています。

%d bloggers like this: