piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Twitterから流出したとみられる約2億件のデータについてまとめてみた

2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。

自分が影響を受けたのかを確認するには

  • 約2億件のデータに自分のメールアドレスが含まれているか(影響対象か)はHave I been pwnedを使って確認することが可能
  • メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。(それ以外のリークに含まれていた場合は別のリーク情報も表示される。)
メールアドレスがリークデータに含まれていた場合にTwitter (200M)が表示。

Twitter APIの脆弱性より流出したデータと主張

約2億件のデータ放流までの流れ(点線部は推測)

約2億件のデータに含まれている情報は何か

  • 流出している情報にパスワードは含まれておらずこの情報だけで不正ログインされることはないが、パスワードが推測されやすいものであったり、別のサービスに同一のメールアドレスを登録しパスワードを使いまわしをしている場合(そのサービスから情報が流出していると)影響を受ける可能性がある。Twitterも2要素認証を使用し認証を強化するよう注意を促している。
  • データを使ってメールアドレスとTwitterアカウントを紐づけすることが可能。匿名・裏アカウントの特定などが行われる恐れもあり、Twitterは流出した(公開された)メールアドレスや電話番号を登録することは避けるよう呼び掛けている。
  • これまでに複数回に渡り、ハッキングフォーラムなどに関連するデータの販売や公開が行われているが、内容に差異がみられる。
ハッキングフォーラムへの投稿時期 データ件数 データの内容
2022年7月21日
(投稿時3万ドルで販売)*3
約540万件(5,485,636件) ユーザーID、ユーザー名称、ユーザー名、場所、URL、自己紹介、非公開設定、フォロワー数、フォロー数、リスト数、アカウント作成日、Like数、認証状況、ツイート数、翻訳対象者?、プロフィール画像URL、メールアドレス
2022年12月23日
(20万ドルで独占販売又は6万ドルで複数販売)*4
約4億件 ユーザー名称、ユーザー名、フォロワー数、アカウント作成日(、一部電話番号を含む)
2023年1月4日
(8クレジットで公開)*5
約2.2億件(221,608,279件) ユーザー名称、ユーザー名、フォロワー数、アカウント作成日、メールアドレス
  • 2023年に公開されたデータは重複が削除されたと主張されるも、データには依然重複データが含まれている。また2022年11月にはこれら以外に約1700万件超のリストが出回っていたとの情報もある。*6

Twitter社が公式の見解公表、同社からのリークは否定

Update about an alleged incident regarding Twitter user data being sold online

  • 利用者情報がネット上で出回っているという疑念についてのアップデートとして、Twitterがこの件に関して見解を公表。
  • 問題の調査にあたったインシデント対応チームと、プライバシー・データ保護チームによれば、出回っているリーク情報の内、540万件以外のデータについてはTwitterのシステムの脆弱性を悪用して取得された証拠はないと否定した。
  • またいずれのリークデータにもパスワードの侵害につながる可能性のあるパスワードそのもの等の情報は含まれていないことを確認したとコメントしている。

関連タイムライン

日時 出来事
2021年6月 Twitterがコード変更を行い、プライバシー設定に関わらず情報を取得できるバグが発生。(脆弱性)
2021年12月頃 脆弱性を悪用してデータを取得する行為が行われる。
2022年1月2日 HackerOneを通じてTwitterへ脆弱性情報が報告される。
2022年1月14日頃 Twitter APIの脆弱性が修正される。
2022年2月12日 HackerOneに報告された脆弱性情報が公開される。
2022年7月21日 ハッキングフォーラムにAPIの脆弱性を悪用して約540万件のデータを取得したと主張する投稿が行われる。
2022年8月5日 Twitterが脆弱性を悪用されたことで情報流出が発生したと公表。
2022年11月27日 ハッキングフォーラムに同年7月に販売されていたとみられる約540万件のデータが公開される。
2022年12月23日 ハッキングフォーラムにAPIの脆弱性を悪用して取得したと主張する約4億件のデータ販売の投稿が行われる。
2023年1月4日 ハッキングフォーラムに約4億件の重複削除などを行ったと主張する約2億件のデータが公開される。
2023年1月6日頃 Twitterの約2億件のデータの流出の可能性について報道。
2023年1月12日 Twitterがリークに関して自社からの流出を否定する見解を公表。

更新履歴

  • 2023年1月7日 AM 新規作成
  • 2023年1月12日 PM 続報反映(Twitterの公式見解)