Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」12月5日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・個人情報漏えいの起因となった脆弱性の詳細
・「被害者」となってしまったユーザーができる対策とは
今回の解説ニュース
Twitterから非公開の個人情報が漏えいし、公開されてしまったということです。Twitterから個人情報が漏えいするに至った背景と、Twitterユーザが今後できる対策について説明します。
今回のインシデントは、Twitter IDやユーザー名といった公開情報に加え、本来は非公開の電話番号やメールアドレスが漏洩してしまったということです。原因として、2021年夏から2022年1月前後までの間に存在していたTwitterの脆弱性が挙げられています。
対策として、2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡を行っています。Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているか否かも含めて回答していないということです。
個人情報漏えいの起因となった脆弱性の詳細
過去に存在していたTwitterの脆弱性と、漏洩した個人情報が一般公開されるに至った背景について説明します。
今回の脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できるという内容です。漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるものです。
つまり、電話番号やメールアドレスを知っていれば、Twitterアカウントを知ることが可能でした。よって、身元を明かさずに使っていた匿名アカウントを特定できたことになります。逆に、漏洩した個人情報を使えば、そのTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能ということになります。
2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態になっています。
その他のトピック