Twitter社は、不運なツイッターユーザーのプライベートツイートやダイレクトメッセージを不適切に他人に公開した可能性があることを明らかにし、被害抑制に全力で取り組んでいる。
280文字の叫び声をあげるTwitterは金曜日、2017年5月から2018年9月10日までの間にAPIの1つに存在していたバグが原因で、一部のメッセージが特定のサードパーティプログラマーに漏洩した可能性があることを認めた。Twitterは影響を受けるユーザーは1%未満だと主張しているが、Twitterは毎月約3億4000万人が利用していることを考えると、計算してみれば当然だろう(いや、もしかしたら340万人にも及ぶかもしれない)。
Twitterによると、Webhookシステムのコーディングミスは、非常に特殊な状況下で発生するとのことです。もしこのミスが発覚した場合、ユーザーのアカウントアクティビティは、アカウントに接続されたアプリではなく、誤ったサードパーティ製アプリケーションにルーティングされてしまいます。その結果、ダイレクトメッセージや非公開ツイートのコピーは、その情報を誤って受け取ったアプリケーションを開発した人物の手に渡ってしまうことになります。
Twitter社は「当初の分析によれば、このバグによってアカウント情報が間違った情報源に確実に共有されるためには、一連の複雑な技術的状況が同時に発生しなければならなかったことに留意する必要がある」と述べた。
以下は、現在修正されたバグが現れるために必要だと Twitter が述べた全文です。
- 2 人以上の登録開発者が、同じパブリック IP に解決されるドメインに対してアクティブなアカウント アクティビティ API サブスクリプションを構成していました。
- アクティブなサブスクリプションの場合、URL パス (ドメインの後) は登録された開発者間で完全に一致している必要があります (例: https://example.com/[webhooks/twitter] と https://anotherexample.com/[webhooks/ twitter ])。
- 登録された開発者のサブスクリプションに関連するアクティビティが同じ 6 分間に発生したこと (キャッシュのような動作のため関連)。
- 登録された開発者のサブスクライバーのアクティビティは、Twitter のデータセンター内の同じバックエンド サーバーから発信されました。
これらの条件がすべて満たされていた場合、不正な開発者が、DM や保護されたツイートを含む登録者のアクティビティを最長 2 週間、あるいはおそらく 6 分間アクティビティが発生しなくなるまで閲覧できたことになります。
Twitterアプリが動かなくなった?原因はこれだ
続きを読む
Twitter社は、実際に情報にさらされた可能性のあるすべての開発者とユーザーに通知しているが、実際に情報にさらされた人はまだ見つかっていないと主張している。
Twitterは声明で「これまでの作業とパートナーから提供された情報から、このバグは、調査を完了したどのパートナーや顧客にも影響を及ぼしていないことが確認できた」と述べた。
「今後数日間にわたり、影響を受けた可能性のある残りの企業パートナーの調査を含め、調査を継続します。」®
