2億件とは別に、「見つけやすさ」機能
からも個人情報が流出していた
なお、今回の2億件よりも前から、この脆弱性によるものとは別に、ダークウェブ上にTwitterのユーザーデータが流出していたことも明らかになった。
Twitterには「電話番号またはメールアドレスを使ってユーザーを特定できる」機能、その名も「見つけやすさ」という設定がある。ユーザーは設定画面で、この機能の有効・無効を切り替えることができるはず……だったのだが、2021年6月にTwitterが行った修正に問題があり、この設定がオンでもオフでも関係なく、電話番号またはメールアドレスを使ってユーザーを特定できる状態になるという障害があった。
この障害を悪用して取得されたデータは、ダークウェブで流通している『Collection#1』(コレクション・ナンバー1、参考記事)などに収録されているものと考えられている。
今回報じられている2億件は、これとは重複しないデータだとして販売されているが、どのように取得したものなのか、詳細は公開されていない。また、これまで個人データが盗まれたものと同じAPIの欠陥を利用して取得されていることから、データもほぼ同じであると考えている専門家もいる。ただ、件数が非常に多く、流通範囲が広いというのが今回のインシデントの特徴だ。