Twitter ユーザー2億人分のリークが発生:メール・アドレスなどが $2 で販売される

200 million Twitter users’ email addresses allegedly leaked online

2023/01/04 BleepingComputer — Twitter ユーザー2億人分の、メール・アドレスを含むとされるデータリークが発生し、人気のハッカー・フォーラムで約 $2 の対価で公開されている。BleepingComputer は、このリークに記載されている、数多くのメール・アドレスの妥当性を確認した。2022年7月22日以降において、脅威アクターや侵害データ収集者たちは、さまざまなオンライン・ハッカー・フォーラムやサイバー犯罪マーケットプレイスで、電話番号およびメール・アドレスで構成されるプライベート・データと、パブリック・データを含む Twitter ユーザー・プロフィールをスクレイピングし、大規模なデータセットとして販売/流通してきた。


これらのデータセットは、Twitter ID と関連付けの有無を確認するユーザーが、メール・アドレスや電話番号を入力するために用いる、2021年に実装された Twitter API の脆弱性を悪用して作成された。

その後に、脅威アクターたちは別の API を用いて、ID が公開されている Twitter データをスクレイピングし、それぞれの公開データと個人のメール・アドレス/電話番号を組み合わせることで、Twitter ユーザーたちのプロフィールを作成した。

この欠陥は、2022年1月に Twitter により修正されたが、最近になって複数の脅威アクターたちが、1年以上前に収集したデータセットを無料で流出させ始めている。

最初のデータセットは 540万人のユーザーを取り込んだものであり、2022年7月に $30,000 で売りに出され、2022年11月27日には無料での公開に切り替わった。また、1700万人分のデータを取り込んだとされる別のデータセットも、2022年11月にプライベートなかたちで出回っていた。

さらに、最近になって、ある脅威アクターが、この脆弱性を利用して収集した4億人分の Twitter プロフィールを含むとする、データセットの販売を開始している。

Twitter プロフィール2億人分を無償で公開

今日、ハッキング・フォーラム Breached において1人の驚異アクターが、2億行の Twitter プロフィールで構成されるデータセットを、同フォーラムの通貨 8 credits (約$2 相当) で公開した。

このデータセットは、2022年11月に出回った4億件のセットと同じものだとされているが、重複分が含まれないようクリーンアップされている。しかし、BleepingComputer のテストでは、この最新の流出データでは重複が確認されている。

The initial sale of Facebook data in June 2020
The initial sale of Facebook data in June 2020
Source: BleepingComputer

この データは、6つのテキスト・ファイルで構成される RAR アーカイブとして公開され、合計で 59GB のデータ・サイズとなる。

RAR archive containing leaked Twitter data
RAR archive containing leaked Twitter data
Source: BleepingComputer

それぞれのファイル内の各行は、Twitter のユーザーとデータを表しており、以下のように、メール・アドレス/名前/スクリーンネーム/フォロー数/アカウント作成日などが含まれている。

Sample of leaked Twitter data
Sample of leaked Twitter data
Source: BleepingComputer

BleepingComputer は、リストアップされた Twitter プロフィールの多くについて、メール・アドレスが正しいことを確認しているが、データセット全体の確認は不可能だった。さらに、今回のリークで見つからなかったユーザーも多数いることで、このデータセットは完全とは言い難い。

あなたの情報が、このデータセットに含まれているかどうかは、あなたのメール・アドレスが以前のデータ流出で公開されていることに大きく依存する。2021年に脅威アクターたちは、過去のデータ流出で公開されたメール・アドレスと電話番号の、膨大なリストを作成している。

そして、スクレイパーは、これらのリストを API バグへと送り込み、あなたの電話番号とメール・アドレスが Twitter ID と関連付けられているかどうかを確認している。もし、あなたのメール・アドレスが Twitter だけで使われている場合や、多くのデータ流出事件に巻き込まれていなかった場合には、API バグの悪用によるデータセットに追加には無関係となる。

BleepingComputerは、流出した一連のデータについて Twitter に問い合わせたが、それに対する回答も、以前送ったメールに対する回答も、受け取っていない。

どうすれば良いのだろうか?

この流出したデータに含まれるのはメール・アドレスだけであるが、アカウント (特に認証済みアカウント) に対してフィッシング攻撃を行うために、驚異アクターが使用することが考えられる。多くのフォロワーを持つ、認証済みアカウントは非常に価値があり、オンライン詐欺で暗号通貨を盗むために多用される。

また、今回の情報漏えいは、匿名でツイートする Twitter ユーザーにとって、プライバシーに関する重大な懸念事項となる。今回の流出により、匿名の Twitter ユーザーを特定し、その実像を暴露することが可能になるかもしれない。

すべての Twitter ユーザーは、パスワードなどの機密情報を盗み出そうとする、標的型フィッシング詐欺に注意する必要があるだろう。残念ながら、流出したメール・アドレスにより、自分の身元が明らかになることを懸念しても、できることは多くない。

2022年7月に、540万人分のユーザー・データが $30,000 で売りに出され、2022年11月27日には無料での公開に切り替わり、今度は2億人分が $2 でという、驚きの展開です。さらには、4億人分のデータセットもあるようです。リークデータの低廉化と、それによるサイバー犯罪のコモディティ化が止まりません。よろしければ、一連のインシデントを、以下でご確認ください。

7/22:Twitter のアカウント情報が大量に流出:548万人分が $30k で販売
8/5:Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される
12/23:Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

%d bloggers like this: