Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張

Twitter claims leaked data of 200M users not stolen from its systems

2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。


Twitter が認めているのは、 2022年1月に修正された脆弱性を、それ以前に脅威アクターが悪用し、2022年8月のデータ漏えいの原因となり、540万人の Twitter ユーザーに影響を与えたというものだ。そして、この脆弱性を悪用した攻撃者は、Eメールアドレスと電話番号を、Twitter ユーザーのアカウントにリンクさせていた。

その一方で、今日になって Twitter は、2023年1月初旬に流出したとされる、2億人分の Twitter ユーザーにリンクしたメールアドレスなどのデータ・セットは、2022年1月に修正された、以前の脆弱性を悪用して取得されたものではないと発表した。

Twitter は、「2億件のデータ・セットは、以前に報告されたインシデントや、Twitter システムの悪用に由来するデータと関連付けることはできなかった。分析したどのデータ・セットにも、パスワードや、パスワードの漏えいにつながる情報は含まれていなかった」と述べている。

同社は、「情報を分析したところ、ネット上で販売されているデータが、Twitter のシステムの脆弱性を突いて入手されたものであるという証拠は見つからなかった。このデータは、さまざまなソースを通じて、すでにオンラインで公開されているデータの集合体である可能性が高い」と述べている。

しかし、今日の同社の声明では、Twitter ユーザーの流出データと、アカウントに関連するメールアドレスとの、リンクの精度については説明されていない。

同社は現在、この “疑惑の事件” に関する追加的な詳細を提供するために、複数の国のデータ保護当局や、関連するデータ規制機関と連絡を取り合っていると付け加えている。

2022年12月に、アイルランドの DPC (Data Protection Commission) は、「Twitter ユーザー 540万人の個人情報がオンラインで流出したという報道を受けて調査を開始し、GDPR (General Data Protection Regulation) 遵守に関連した問い合わせを行った」と発表した。

その2年前の 2020年12月には、EU の GDPR が求める 72時間の期限内で、情報漏えいの発生をデータ監視機関に通知しなかったとして、DPC が Twitter に €450,000 (~$550,000)  の罰金を科している。

この Twitter の情報漏えいですが、詳しくは 1月4日の「Twitter ユーザー2億人分のリークが発生:メール・アドレスを含むデータを $2 で販売」を、ご参照ください。Twitter の主張としては、いま販売されているデータは、以前に漏えいしたデータと、オープンになっているデータを、何らかのかたちで合成したものだ・・・ということなのでしょう。よろしければ、一連のインシデントを、以下でご確認ください。

7/22:Twitter のアカウント情報が大量に流出:548万人分が $30k で販売
8/5:Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される
12/23:Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

%d bloggers like this: