Twitter社は、バックエンドシステムの欠陥が悪用され、数百万人に及ぶ可能性のあるユーザーの携帯電話番号が大量に取得され、匿名性が失われる可能性があることを認めた。
同社は月曜日の勧告で、12月24日に「誰かが大規模な偽アカウントネットワークを使って当社のAPIを悪用し、ユーザー名と電話番号を照合していることを認識した」と述べた。
同日、セキュリティ研究者のイブラヒム・バリック氏は、自動生成された20億の電話番号のリストをTwitterの連絡先アップロード機能にアップロードし、ユーザー名と照合することで、1,700万件の電話番号をTwitterアカウントと照合することに成功したと明らかにした。
この機能は、Twitterで友達を探すユーザーが携帯電話のアドレス帳をアップロードして使うことを想定している。しかし、TwitterはAPIへのリクエストを完全に制限しておらず、連続した番号のアップロードを禁止すれば十分に安全だと判断したようだ。
しかし、それは事実ではなく、Twitter社は現在、Balic氏の調査に加え、「イラン、イスラエル、マレーシアにある個々のIPアドレスからのリクエストが特に多かった」と述べ、「これらのIPアドレスの一部は国家支援団体と関係がある可能性がある」と付け加えている。
特定の電話番号を Twitter アカウントに結び付けることができることは、ハッカー、詐欺師、またはスパイにとって潜在的に非常に価値があります。その番号に関連付けられた ID をユーザー名に関連付けられた ID にリンクして、潜在的に誰かの匿名性を完全に解除できるだけでなく、たとえば SIM スワップ攻撃を介してどの高価値番号を乗っ取り、SMS または音声通話の 2 要素認証で保護されているアカウントを制御できるようになるからです。
つまり、このTwitterのセキュリティホールは、巨大な情報収集の機会だったのです。
ブレグジットの悪党アーロン・バンクスのツイッターアカウントがハッキングされ、プライベートメッセージがオンラインに公開される
続きを読む
Twitterは当初、「大規模な偽アカウントネットワークを利用してAPIを悪用し、ユーザー名と電話番号を照合していた」人物を1人だけ確認し、アカウントを停止したと述べています。しかし、すぐに問題がより広範囲に及んでいることに気付きました。「調査の結果、同じAPIエンドポイントを本来の用途を超えて悪用していた可能性があると考えられる追加のアカウントを発見しました。」
Twitterは、自ら招いたセキュリティ上の失態について次のように謝罪しました。「このような事態が発生し、誠に申し訳ございません。皆様から寄せられた信頼を認識し、感謝しております。そして、その信頼に日々応えられるよう尽力してまいります。」
Twitterアカウントに電話番号を追加しなかった、またはAPI経由で電話番号の検出を許可しなかったユーザーは影響を受けなかったことは注目に値します。これは、必要以上に個人情報を企業に預けてはいけないという、痛ましい教訓を示しています。®
