cURL の作者は火曜日、自身の Twitter アカウントが何を主張していたとしても、自分はビットコインを配るような億万長者のロケットマンではないことをThe Reg に保証した。
広く使用されているネットワークデータ転送ツールのスイスアーミーナイフを保守するダニエル・ステンバーグ氏の認証済みツイッターアカウントが何者かに乗っ取られ、その名前とアバターがイーロン・マスク氏のものに変更され、ビットコイン詐欺を広めるために使用された。
ステンバーグ氏は、Twitter社にプロフィールの管理権を取り戻させる直前、エル・レグ氏とのインタビューで、自身のcURL作業が侵害されたり、悪意のあるコードが混入されたりしていないと「かなり確信している」と述べた。今回のハッキングは、今年初めにマスク氏のTwitterアカウントが乗っ取られ、標的の仮想通貨株を手放す代わりに、より多くの報酬を受け取るよう仕向けられたという、広く拡散したハッキング事件と非常によく似ている。
「いいえ、どうやって私のアカウントに侵入したのか全く分かりません」とステンバーグ氏はThe Register紙に語った。「私のローカルマシンやアカウントを経由したり侵入したりしたわけではないと確信しています。これはすべてリモートのTwitterアカウントで行われたものです。それ以外は、どうやってこれが起こったのか全く謎です。」
セキュリティは万全か?ビットコインのハッキングを防ぐためにTwitterにはCISOを置くべきだったと米国政府金融機関が主張
続きを読む
ステンバーグ氏は自身のウェブサイトで、cURLコードのデバッグに忙しい最中に、フォロワー2万4000人の彼のTwitterアカウントが何者かに乗っ取られたと述べている。乗っ取られた人物は、すぐにアカウントの登録メールアドレスとパスワードを変更してアカウントをロックアウトし、その後ビットコイン詐欺に利用したという。
「11月16日早朝0時42分(私の時間、中央ヨーロッパ時間)に、私のTwitterアカウント@bagderに『誰か』が新しいデバイスからログインしたというメールを受け取りました。メールには、スウェーデンのストックホルムから『Windows版Chrome』でログインしたと書かれていました。私はストックホルムに住んでいます」とステンバーグ氏は書いている。
すぐに彼は他のすべてのTwitterセッションから強制的にログアウトされ、ハッキングされたことに気づきました。00:50にTwitterに報告し、00:51には確認のための追加情報を提供しました。Twitterからアカウントが返還されたのは、それからほぼ2日後のことでした。
「11月17日20時56分に、アカウントが私のメールアドレスと所有権に戻されたことを通知するメールを受け取った」とステンバーグ氏は書いている。
デジタル熱狂はビットコインが1コイン1万7000ドルに達した時期と一致しているようだが、これは2018年1月以来の高値だ。
ちょっと邪魔してごめんなさい。ハイハックにすぐに気づいて、たった8分後にTwitterに報告したんですが、それから45時間も待たされて、今またここにいます。https://t.co/vqSLZvvNVb pic.twitter.com/JBc4tfqD0Y
— ダニエル・ステンバーグ (@bagder) 2020 年 11 月 17 日
cURLのメンテナーはこう推測した。「私が考えずにはいられない不可解なことの一つは、Twitterから、誰かが私のアカウントに*ストックホルムから*ログインしたという通知メールをどうやって受け取ったのかということです。つまり、私のアカウントをハッキングしようとする人が、私とほぼ同じ地域にあるIPアドレス範囲からハッキングを行う確率はどれくらいなのでしょうか?しかし、それに基づいて合理的な結論を導き出すことはできません。ただ…偶然とは考えにくいのです。」
実際にはそうではないかもしれない。今年初め、ドナルド・トランプ米大統領のTwitterのパスワードを推測したと主張するオランダのハッカーグループは、VPNを使ってトランプ氏のアカウントでその機能を発見し、回避した経験から、Twitterが認証の一形態として位置情報に基づく制御を実施していると推測した。
今のところ、Twitterで知らない人にビットコインを送金しないでください。たとえ電気自動車のセールスマンに勧められても、絶対にしないでください。®
