昨年発生したTwitterの大規模データ侵害では、500万件以上の電話番号とメールアドレスが流出しましたが、事態は当初の報道よりも深刻でした。複数の悪意ある人物が同じセキュリティ脆弱性を悪用したという証拠が示されており、ハッキングされたデータは複数の情報源からダークウェブ上で販売されています。

これまで、データにアクセスできたのはハッカー1人だけと考えられていたが、Twitter社の遅れた告白により、この印象は強まった…

背景

HackerOneは この脆弱性を1月に初めて報告しました。この脆弱性により、誰でも電話番号またはメールアドレスを入力すると、それに関連付けられたtwitterIDを見つけることができました。これはTwitterが使用する内部識別子ですが、Twitterハンドルに簡単に変換できます。

悪意のある人物は、Twitter ハンドル、電子メール アドレス、電話番号を組み合わせた単一のデータベースを作成できる可能性があります。

当時、Twitter 社は脆弱性が存在し、その後修正されたことを認めたが、誰かがそれを悪用した件については何も言及しなかった。

その後、 Restore Privacy は 、ハッカーが実際にこの脆弱性を利用して数百万のアカウントから個人データを入手したと報告した。

1月に確認されたTwitterの脆弱性が、脅威アクターによって悪用され、540万人のユーザーとされるアカウントデータが盗まれたとされています。Twitterはその後この脆弱性を修正しましたが、この脆弱性を悪用して入手されたとされるデータベースが、本日早朝、人気のハッキングフォーラムに投稿され、現在販売されています。

Twitterはその後ハッキングを認めた。

2022年7月、報道により、誰かがこの問題を悪用し、収集した情報を販売しようとしている可能性があることが判明しました。販売可能なデータのサンプルを検証した結果、問題が解決される前に、悪意のある人物がこれを悪用していたことが確認されました。

大規模なTwitterデータ侵害は単数形ではなく複数形

昨日、Twitter上で、同じ個人データが1人ではなく複数の悪意ある人物によってアクセスされたという示唆がありました。9to5Macは、これが事実であることを示す証拠を確認しました。私たちは、同じ情報が異なる形式で含まれたデータセットを提示されました。あるセキュリティ研究者は、これは「明らかに別の脅威アクターによるものだ」と述べています。情報筋によると、これは彼らが確認した多数のファイルのうちの1つに過ぎないとのこと。

データには、英国、ほぼすべてのEU加盟国、および米国の一部の地域のTwitterユーザーが含まれています。

私は電話番号の国コードごとに 1 つずつ、+XX 0000 から +XX 9999 までの国全体の電話番号スペースの電話番号 <-> Twitter アカウント名のペアを含む複数のファイルを取得しました。

2021 年後半に Discoverability | Phone オプションが有効になっていたすべての Twitter アカウントがデータセットにリストされました。

ここで言及されているオプションは、Twitterの設定の中にかなり奥深く隠されており、デフォルトでオンになっているようです。こちらに直接リンクがあります。

悪意のある人物は 1 時間あたり約 50 万件のレコードをダウンロードできたと考えられており、そのデータはダーク ウェブ上の複数の情報源によって約 5,000 ドルで販売されています。

これについてツイートしたセキュリティ専門家のアカウントが停止された

昨日この問題についてツイートした別のセキュリティ専門家も、同日中にTwitterアカウントを停止されました。国際的に著名なコンピュータセキュリティ専門家、チャド・ローダー氏はTwitterの反応を予測し、数分以内にその予測が的中しました。

複数のハッカーが同じデータを入手し、それを他の侵害から得たデータと組み合わせたと彼らは私に話しました。

2021 年を通じて、電話番号と電子メールの両方について、複数の脅威アクターが独立して活動し、このデータを収集していたようです。

電子メールと Twitter の組み合わせは、この Twitter の検出可能性の脆弱性を利用して、1 億以上の電子メール アドレスの既存の大規模データベースを実行することによって導き出されました。

Twitter社にコメントを求めたいところだが、マスク氏がメディア対応チーム全員を解雇したため…

写真: Unsplash

havebin.com を Google ニュース フィードに追加します。