Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

Massive Twitter data leak investigated by EU privacy watchdog

2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。


金曜日の声明で、アイルランドのプライバシー規制当局 (DCP) は、「通知された個人データの侵害に関して、Twitter International Unlimited Company (TIC) と連絡をとった。TIC の主張は、データセットを生成するために使用したソースの脆弱性であり、
GDPR コンプライアンスに準じてクエリを発生するというものだ。Twitter ユーザーの個人データに関連して、GDPR および法律の条項が侵害された可能性があると考えている」と述べているま。

Twitter に対する主要な EU 監視機関として機能する DPC は、このソーシャルメディア大手がデータ管理者として、ユーザー・データの処理に関する義務を果たしているかどうか、一般的なデータ保護規則 (EU GDPR) または、データ保護法 2018の規定に違反しているかどうかを、判断したいと考えている。

2年前に DPC は、GDPR が要求する 72時間の時間枠内に侵害を通知せず、侵害の文書化が不十分だったとして、Twitter に対して €450,000 (~$550,000) の罰金を課している。

また、2021年11月に DPC は、Facebook で発生した大規模なデータ流出により、世界中の数億人のユーザーの個人情報が流出したとして、Meta に対して €265 million ($275.5 million) の罰金を課している。

Facebook のユーザー・データは、有名なハッキングフォーラムでも共有され、脅威アクターによる標的型攻撃で悪用された。

2022年7月以降に、盗まれた Twitter ユーザー・データが販売されている

2022年7月に、Twitter ユーザー 540万人以上の個人情報が、ハッキングフォーラムにおいて $30,000. で売りに出された。

Twitter ID/名前/ログイン名/所在地/認証済みステータスなどの、大半のデータは公開されているものだが、流出したデータベースには、メールアドレスや電話番号などの非公開情報も含まれていた。

一連の流出データは、2021年12月に HackerOne バグバウンティ・プログラムで公開された、Twitter API の脆弱性により収集されたものだ。その結果として、誰もが、電話番号やメールアドレスを API に送信し、関連する Twitter ID と紐付けることが可能になってしまった。

盗み出されたユーザー・データのサンプルを、BleepingComputer が Twitter と共有した後に、この API バグを悪用するデータ侵害が発生したことが確認され、2022年1月に Twitter は修正したと述べていた。

BleepingComputer は、このバグが Breached ハッキングフォーラムのオーナーである Pompompurin により悪用され、さらに別の API も悪用することで、140万人の停止中の Twitter ユーザーの情報が採取されたことを発見した。それにより、個人情報を不正に収集された Twitter のプロフィール数は、合計で約 700万件に達した。

2022年9月〜11月にも、5,485,635人の Twitter ユーザー・データ含むデータベースが、ハッキングフォーラムで無料で共有されていた。

このデータには、個人の電子メールアドレスや電話番号をはじめ、Twitter ID/名前/スクリーンネーム/認証済みステータス/所在地/URL/説明/フォロワー数/アカウント作成日/友人数/お気に入り数/ステータス数?プロフィール画像 URL などの、公開されているスクレイピング・データなど、公私にわたる豊富なユーザー・データが含まれている。

Scraped Twitter data on sale
Scraped Twitter data on sale (BleepingComputer)

数千万人のユーザー・データも盗まれる

また、セキュリティ専門家である Chad Loder は、以前に修正された API のバグを悪用して収集された、個人の電話番号/認証済みステータス/アカウント名/Twitter ID/バイオ/スクリーンネームなどの、公開情報を含む数百万件の Twitter レコードを含むと思われる、さらに大きなデータダンプに関する詳細が、Twitter と Mastodon により明らかにされた。

Loder は、「欧米のの何百万もの Twitter アカウントに影響を与える、大規模な Twitter データ侵害の証拠を受け取ったところだ。影響を受けたアカウントのサンプルを用いて、その所有者と連絡をとり、侵害されたデータが正確であることを確認した。この侵害は、2021年以前に発生したものではない」と述べている。

BleepingComputer も、影響を受けた複数のユーザーと連絡をとり、この侵害されたデータの電話番号が有効であることを確認した。

注目すべきは、今回の流出におけるデータベースの電話番号が、2002年8月に販売されたオリジナル・データには、1つも存在しなかったことだ。つまり、これまで知られていた範囲を超える、データ流出が発生していたわけであり、脅威アクターたちの間で、Twitter のユーザーデータが大規模に交換されている状況が示唆されている。

Info on larger Twitter data leak
Info on larger Twitter data leak shared on Mastodon (BleepingComputer)

この情報は、独自に確認されたものではないが、2番目に流出したデータベースには 1700万件以上のレコードが含まれているとのことだ。

BleepingComputer は、この個人ユーザー情報の追加データダンプについて Twitter に問い合わせたが、現時点では回答が得られていない。

この Twitter のインシデントに関しては、7月22日の「Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている」および、8月5日の「Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される」でも紹介されています。そして、EU データ保護委員会による調査が始まったとのことですが、先日には、「Microsoft に $64m の罰金:Bing の広告 Cookie が GDPR 違反」にあるように、Microsoft も罰金を課されています。さまざまな意見が寄せられた GDPR ですが、良いかたちで、プライバシー保護を進めていると思えます。

%d bloggers like this: