Twitterがゼロデイ脆弱性の悪用により個人情報が漏えいしたと発表 540万以上のアカウントに影響か

[山本竜也，ITmedia]

　米Twitterは8月5日（現地時間）、ゼロデイ脆弱（ぜいじゃく）性の悪用により、個人情報が流出したと発表。悪用された脆弱性は既に修正済みで、影響を受けたことが確認できるユーザーには直接通知したとしている。

Twitterの脆弱性の悪用により、540万以上のアカウントのデータが漏えいした

　悪用された脆弱性は、同社のバグ報奨金プログラムを通じて1月に報告を受けていたとのこと。この脆弱性を利用すると、ユーザーがプライバシー設定で禁止している場合でも、電話番号やメールアドレスからTwitter IDを取得でき、これらの情報とTwitterプロフィールをひもづけることが可能になっていた。

　この脆弱性は、2021年6月のシステム改修が原因で発生しており、報告を受けた時点で修正し、悪用された証拠は見つからなかったとしている。しかし、7月にRestore PrivacyやBleeping Computerなどで流出したアカウントリストがハッカーフォーラムで販売されていると報じられ、そのデータのサンプルを確認したところ流出したデータだと判明したとのことだ。

データ漏えいを伝える公式ブログ

　Twitterは、公式には影響を受けたアカウント数を明らかにしていないが、フォーラムで販売されていたリストには540万以上のアカウントが含まれているとのことだ。

　なお、流出したデータは公開プロフィール情報とアカウントにひもづけられているメールアドレスまたは電話番号で、パスワードなどは含まれていない。ただし、電話番号やメールアドレスが流出していることから、Bleeping Computerは標的型フィッシング攻撃に注意するよう呼び掛けている。Twitterもアカウント保護のために2要素認証を有効にすることを推奨している。