asouuo
  • 月着陸船が月食中に「ダイヤモンドリング」を撮影
Headlines

ハッカーが数百万件のTwitter IDとユーザー情報を無料で公開

05 mins
ハッカーが数百万件のTwitter IDとユーザー情報を無料で公開

TwitterのAPIにはかつて、非常に簡単に悪用できる脆弱性があり、ハッカーは540万人分のユーザー情報を盗み出すことに成功しました。現在、ハッカーフォーラムでのユーザーからの報告や発言によると、インターネット上にはさらに数百万件のユーザーデータが流出しているようです。

BleepingComputerは月曜日、パスワード、電話番号、メールアドレスなどを含む540万件のユーザー記録は、企業データへのより大規模な漏洩の氷山の一角に過ぎない可能性があると報じた。このデータは当初、Twitterのアプリケーション・プログラミング・インターフェース(API)の脆弱性を利用して盗み出されたが、現在ではオンラインで公開されている。HackerOneが今年初めにまとめたように、ハッカーたちは、ユーザーがアカウントでそのオプションをオフにしていても、電話番号やメールアドレスをシステムに送信することで誰でもTwitter IDを取得できる方法を発見した。

2021年後半、TwitterのAPIとその検出設定が悪用され、ユーザー名、パスワード、電話番号、電子メールが取得された。
2021年後半、TwitterのAPIとその検出設定が悪用され、ユーザー名、パスワード、電話番号、メールアドレスが盗まれた。スクリーンショット:Twitter

Twitterは、APIの最初の脆弱性と数百万件のユーザーIDの侵害について公表しました。当時、Twitterはデータ侵害の影響を受けたことが確認できるユーザーに通知していると発表していました。しかし、著名な反ファシスト研究者でセキュリティ専門家のチャド・ローダー氏は、11月25日に自身のMastodonプロフィールに、追加のデータ盗難の証拠を記載しました。ローダー氏は先週、9to5Macに対し、「複数の脅威アクターが独立して活動している」と述べ、英国、一部のEU加盟国、そして米国の一部地域から、主に2021年後半のデータを盗んでいる可能性があると語りました。この2つ目のデータセットには、さらに約140万件のプロフィールが含まれている可能性があります。

先週、BreachForums(別名Breached)に投稿されたスレッドでは、オリジナルの540万件のデータポイントが無料で公開されました。記事執筆時点では、このフォーラムスレッドはまだ稼働しています。Gizmodoはデータの信憑性を確認できませんでしたが、フォーラムスレッドでは、停止中のアカウントから得られた追加の140万件のデータは、依然としてプライベートなサークル内でのみ拡散している可能性があると指摘されています。

540万件のユーザーデータをダウンロードするためのリンクを含むBreachedの投稿は、報道時点ではまだアクティブだった。
540万件のユーザーデータをダウンロードするためのリンクを含むBreachedの投稿は、報道時点ではまだアクティブだった。スクリーンショット:Breached

しかし、これらのアカウントのうちどれだけが新しい情報を含んでいるのかは依然として疑問です。サイバーセキュリティのパスワードチェッカーであるLeakCheckは、同じフォーラムのスレッドで、500GBを超えるデータで見つかったメールのうち、新しいもの、つまり過去の漏洩では見つかっていないものはわずか12%程度しかないと指摘しています。

Gizmodoは確認のためにLeakCheckに連絡を取ったが、すぐには返答がなかった。

つまり、最大700万人のユーザーまたは元ユーザーのアカウント情報がインターネット上に流出している可能性があるということです。BleepingComputerはまた、昨年末にTwitterを攻撃した最初のハッカーであると主張する「Breached」の所有者で「Pompompurin」という名のユーザーに連絡を取ったと発表しました。Pompompurinによると、140万件の記録は本来公開されるべきではなかったとのことですが、いずれにせよ漏洩してしまったようです。BleepingComputerは、データには1700万人以上のユーザー記録が含まれている可能性があると指摘しており、これは当初報告された数をはるかに上回っていますが、正確な数は特定されていません。

Breachedハッカーフォーラムのハッカーたちは当初、このデータを3000万ドルで公開していましたが、最新のレポートによると、現在では無料でオンライン公開されているとのことです。BleepingComputerは、漏洩したフランスのユーザー記録のうち137万件にアクセスできたと報告しています。その後、漏洩したユーザーの少なくとも一部から、電話番号が有効であることを確認しています。今年初めに公開されたリストよりも、最新のリストにはさらに多くの電話番号が含まれている可能性があります。

Twitterのアクティブユーザー数は1日あたり2億人を超えています(CEOのイーロン・マスク氏はユーザー数の増加を大げさに主張していますが)。1,700万人規模のデータ漏洩は、ユーザーデータ漏洩の中でも最大級の規模と言えるでしょう。ただし、過去最大規模とまでは言えません。以前、ハッカーがキャピタルワンからユーザー情報1億件を盗み出し、犯人は5年間の保護観察処分を受けました。LinkedInは、自社システムから5億件のユーザープロフィールをスクレイピングしました。配車サービス会社のUberは、2016年と数か月前の2回、大規模なユーザーデータハッキングを経験しています。

ギズモードはツイッター社に連絡を取ったが、マスク氏の時代とツイッター社の広報チームの終焉が予想される中、数週間も同社からの返答がない。

Tagged:

Related News