Havebin

Iphone

Twitterのデータ侵害で540万アカウントの連絡先情報が流出

Havebin
qlamk
0 Comments
Twitterのデータ侵害で540万アカウントの連絡先情報が流出
Twitterのデータ侵害で540万アカウントの連絡先情報が流出
Twitterのデータ侵害 | 1と0がコードのように並んだTwitterのロゴ

最新情報:Twitterは、ハッカーがアカウント情報を漏洩できたことを遅ればせながら確認しましたが、540万件という数字についてはコメントしていません。記事末尾の声明をご覧ください。

Twitterのデータ侵害により、攻撃者が540万アカウントの連絡先情報にアクセスすることができました。Twitterは、データの抽出を可能にしたセキュリティ上の脆弱性を確認しました。

Twitterのハンドルネームと電話番号やメールアドレスを結び付けるこのデータは、ハッキングフォーラムで3万ドルで売りに出されている。

Restore Privacy は、この侵害は 1 月に発見された脆弱性によって可能になったと報告しています。

1月に確認されたTwitterの脆弱性が、脅威アクターによって悪用され、540万人のユーザーとされるアカウントデータが盗まれたとされています。Twitterはその後この脆弱性を修正しましたが、この脆弱性を悪用して入手されたとされるデータベースが、本日早朝、人気のハッキングフォーラムに投稿され、現在販売されています。

1月にHackerOneで、Twitterアカウントに関連付けられた電話番号やメールアドレスを、ユーザーがプライバシー設定でこれらのフィールドを非表示にしている場合でも、攻撃者が取得できる脆弱性が報告されました[…]

脅威アクターが、この脆弱性から取得したとされるデータを販売しています。本日、新たなユーザーがBreached ForumsでTwitterデータベースを販売しているのを確認しました。Breached Forumsは、今月初めに10億人以上の中国住民の個人情報が漏洩したデータ侵害で国際的な注目を集めた、有名なハッキングフォーラムです。

この投稿は現在も公開されており、540万人のユーザーを収録したとされるTwitterデータベースが売りに出されている。ハッキングフォーラムで「devil」というユーザー名で販売されている人物は、このデータセットには「有名人、企業、一般ユーザー、OGなど」が含まれていると主張している。

ハッキングフォーラムの所有者は攻撃の真正性を確認し、Restore Privacyもデータベースの 2 つのサンプルが検証済みであると述べています。

検証と分析のためにサンプルデータベースをダウンロードしました。このデータベースには、世界中の人々の公開プロフィール情報に加え、Twitterアカウントで使用されているメールアドレスまたは電話番号が含まれています。

私たちが調べたサンプルはすべて、Twitter の公開プロフィールで簡単に確認できる実在の人物と一致しています。

プライバシーサイトが販売者に連絡したところ、データベースの価格は3万ドルだと伝えられた。

HackerOneは1月にこの脆弱性を報じましたが、この脆弱性を悪用すると、誰でも電話番号またはメールアドレスを入力するだけで、関連するtwitterIDを見つけることができました。これはTwitterが使用する内部識別子ですが、Twitterハンドルに簡単に変換できます。

これは深刻な脅威です。メールアドレスや電話番号による検索を制限されているユーザーを見つけられるだけでなく、スクリプトやコーディングの基礎知識を持つ攻撃者であれば、これまで列挙できなかったTwitterユーザーベースの大部分を列挙できます(電話番号やメールアドレスとユーザー名を関連付けたデータベースを作成)。このようなデータベースは、悪意のある第三者に販売され、広告目的や、様々な悪意ある活動において有名人を標的にする目的で利用される可能性があります。

また、私が発見した素晴らしい機能は、この方法を使用して、停止された Twitter アカウントの ID を見つけることもできることです。

攻撃者は、他のサービスの侵害で取得した電話番号と電子メールアドレスの既存のデータベースを入手し、それらの詳細を使用して対応する Twitter ID を検索した可能性があります。

Twitterのデータ侵害に自分のアカウントが含まれているかどうかを確認する方法はまだありません。いつものように、フィッシング攻撃には警戒を怠らないでください。フィッシング攻撃とは、Apple、銀行、PayPal、メールプロバイダーなどを装い、アカウントへのログインを要求するメールです。

一般的なフィッシングの手口としては、アカウントが削除される危険性があることを伝えるメッセージや、高額の購入に対する偽の領収書と、請求に異議を申し立てるためのリンクを送信することが挙げられます。

ここでの主な安全策は、 メールに記載されているリンクを決して クリックしないことです。必ずブックマークを使用するか、既知のURLを入力してください。

更新:Twitterが侵害を認める

Twitterは以前、この脆弱性の存在を認めていたものの、悪用された事実についてはコメントしていなかった。今回、同社はコメントを発表し、影響を受けたユーザーに連絡を取ることを約束した。

このバグは、2021年6月のコードアップデートによって発生しました。このバグを認識した時点で、直ちに調査を行い、修正を行いました。当時、この脆弱性が悪用されたことを示す証拠はありませんでした。 

2022年7月、報道により、誰かがこの問題を悪用し、収集した情報を販売しようとしている可能性があることが判明しました。販売可能なデータのサンプルを検証した結果、問題が解決される前に、悪意のある人物がこれを悪用していたことが確認されました。

この問題の影響を受けたことが確認できたアカウント所有者には、直接通知いたします。 

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like