Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める
Twitterは、ゼロデイ脆弱性が悪用され、540万以上のアカウント情報が流出したと発表した。悪用されたのは1月にバグ報奨金プログラムで報告を受けた脆弱性で、修正済みだ。ユーザーに2要素認証を使うよう推奨している。
米Twitterは8月5日(現地時間)、ゼロデイ脆弱性(既に修正済み)が悪用され、540万以上のアカウントと電話番号やメールアドレスの情報が流出したと発表した。
この脆弱性については1月、同社のバグ報奨金プログラムを通じて報告を受けたという。昨年6月のシステム更新の際に発生したバグで、報告を受けて修正した時点では脆弱性が悪用された証拠はなかったとしている。
だが、米Restore Privacyの7月の報道で、この脆弱性が悪用され、アカウントリストが販売されていることを知ったため、影響を受けたことが確認できるユーザーには直接通知した。
この段階で公式ブログで発表するのは、「影響を受けた可能性のあるすべてのアカウントを確認することはできず」、特に匿名アカウントは国家などの標的になる可能性があるためとしている。
米BleepingComputerによると、アカウントと紐付けられたのは、電話番号あるいはメールアドレス、フォロワー数、ユーザー名、ログイン名、プロフィール画像のURLなど。パスワードは流出していない。
このリストは3万ドルで販売されているという。同メディアは、将来的にはこのリストが無料で公開される可能性があるとしている。
Twitterは、アカウントを保護する方法として、2要素認証を有効にすることを推奨した。
BleepingComputerは、このリストが既に攻撃者の手にわたっているため、スピアフィッシング攻撃(組織攻撃の踏み台として特定の個人に的を絞ってフィッシング攻撃すること)に注意するよう呼び掛けた。
関連記事
- 攻撃者が利用する不正侵入の常とう手段とは 最大の弱点は「人」、米Verizonが指摘
セキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。 - 多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘
過去2年でサイバー攻撃が急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証などの普及がなかなか進まない状況にある──米Microsoftは、そんな実態に警鐘を鳴らしている。 - Twitter、GoogleおよびAppleのアカウントでのログインが可能に(既存アカウントとのリンクも可能)
Twitterに、GoogleアカウントまたはApple IDでログインできるようになった。これらでログインすると、名前、メールアドレス、プロフィール写真が共有される。メールアドレスが同じであれば既存アカウントとのリンクも可能だ。 - 脆弱性探しはハッカーが頼り バグ報奨金制度、新型コロナ対応が普及後押し
企業が「賞金稼ぎ」に依頼することへの抵抗がなくなってきたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.