540万人分のユーザーデータを販売
オンラインのプライバシーと安全性の情報サイト「Restore Privacy」によると、脆弱性をついたハッキングにより、ツイッターの540万人分のユーザーデータが流出し、アングラサイトのハッキングフォーラム上で販売されているようだ。
Verified #Twitter Vulnerability Exposes Data from 5.4 Million Accounts https://t.co/q5VealvKGP
— RestorePrivacy (@ResPrivacy) July 22, 2022
これに伴い、大手暗号資産(仮想通貨)取引所バイナンスCEOのCZ氏は、今後フィッシング攻撃が増加すると思われることから、ショートメッセージやEメールに記されたリンクを安易にクリックしないように注意を呼びかけた。
Anticipate more phishing attacks. Never click on links in SMS or emails.
— CZ 🔶 Binance (@cz_binance) July 24, 2022
» Twitter data breach exposes contact details for 5.4M accounts https://t.co/xD7I9O3EiJ
Restore Privacyは21日、「Breached Forums」でツイッターのデータベースを売りに出した不審なユーザーに気がついたという。
販売しているのはユーザー名「devil」で、脆弱性を利用して収集したユーザーデータには著名人や企業なども含まれると主張。このハッカーはデータのサンプル(ツイッターのプロフィール情報、メルアド、電話番号を含む)を投稿していたため、Restore Privacyがデータをダウンロードし、内容の検証と分析を行った結果、全てのデータで、ツイッターのプロフィールから確認可能な実在の人物と一致したという。
Restore Privacyが販売者とコンタクトを取ったところ、彼は「ツイッターの無能さ」によってデータベースが利用可能になったと主張。そして、データの対価として約4,000万円(3万ドル)を要求したとのことだ。
なお、データが販売されているBreached Forumsは今月初め、中国で10億人分のデータのハッキング事件で注目を集めたハッキングフォーラム。
関連:ビットコイン2,700万円相当で個人情報を販売すると提示 中国で10億人分のデータ流出か
脆弱性は修正されていた
今回のデータ流出に利用された脆弱性は、今年1月、「ハッカーに悪用される可能性がある深刻な脅威」として、セキュリティプラットフォーム「HackerOne」上でバグレポートとして提出されていた。この脆弱性を利用することで、ユーザー自身が設定したのプライバシー設定に反して、「電話番号やメールの送信により、認証なしに任意のユーザーのツイッターIDを取得することが可能」になるという。
HackerOneとは
米サンフランシスコに本拠を置く、ハッカーとサイバーセキュリティの脆弱性の検証を望む企業を結びつけるプラットフォーム。脆弱性の発見に対し懸賞金を提供するプログラムを運営している。これまで、米国防総省をはじめ、ツイッター、グーグル、ソニー等の著名機関・企業が同社のサービスを利用している。
▶️仮想通貨用語集
レポートを提出したのはユーザー名「zhirinovskiy」で、このバグは、「ツイッターのAndroidクライアントで使用されている認証プロセス、具体的にはツイッターアカウントの重複をチェックするプロセスに起因している」と指摘。レポートには標的とされたアカウントから、データを取得する方法が具体的に記されていた。
レポート提出から5日後、ツイッターのセキュリティ部門は、zhirinovskiy氏の指摘がセキュリテイ上の問題であることを認め、さらに調査分析を進め、脆弱性は修正された。同氏には5,040ドルの報奨金が与えられた。
ホワイトハットとの関連を否定
しかし、今回発生したデータの不正流出は、まさにこの脆弱性をついたものだったようだ。
コンピュータ技術のリソースサイト「BleepingComputer」によると、ハッカー「devil」は昨年12月にこの脆弱性を利用し、データを収集していたという。さらに、zhirinovskiy氏とは無関係で、HackerOneを利用したこともないと述べた。
devilが販売中のユーザーデータには、すでに幾人かの買い手が興味を示しているとのことだ。
