Twitterが放置していた脆弱性が、
データを抜かれた原因?

 以前、Twitterには、第三者認証(Twitterの機能を使って他のアプリの認証を行う機能)APIに、第三者が他人のアカウント情報を取得できる脆弱(ぜいじゃく)性が存在していた。ハッキングフォーラムには、今回のデータはこの脆弱性を利用して取得したものだと投稿されているようだ。

 この脆弱性は、Twitterが同社のバグ報奨金プログラムを通じて報告を受けたもので、メールアドレスまたは電話番号をTwitterに送信すると、同システムはどのTwitterアカウントがどのメールアドレスや電話番号と関連づけられているのかを通知してしまうというものだった。

 この問題に関しては、2021年頃に「ゼロデイ脆弱性(開発元が対策を完了する前に悪意の利用者が悪用可能な状態になった)」になっており、この状態は2022年1月にユーザーから報告を受け修正を受けるまで続いた。その後、7月になってこの脆弱性によって個人情報が抜き取られ販売されていたことをTwitterが把握し、8月にはこの修正についての情報公開が行われた(https://privacy.twitter.com/ja/blog/2022/an-issue-affecting-some-anonymous-accounts)のだが、いずれにしても後手後手の印象は否めない。

2022年8月にTwitterから公表された、修正についての情報公開2022年8月にTwitterから公表された、修正についての情報公開 拡大画像表示
Twitterはその後、最近になってオンラインで流通しているアカウント情報は、さまざまなソースを通じてオンラインですでに公開されているデータの集合体である可能性が高いとの声明を発表し、自システムの脆弱性からアカウント情報が漏えいしたことを否定した。(1月17日追記)