2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。
自分が影響を受けたのかを確認するには
- 約2億件のデータに自分のメールアドレスが含まれているか(影響対象か)はHave I been pwnedを使って確認することが可能。
- メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。(それ以外のリークに含まれていた場合は別のリーク情報も表示される。)
Twitter APIの脆弱性より流出したデータと主張
- Twitter APIに第三者が他人のアカウント情報を取得できる脆弱性が2021年6月から2022年1月の修正されるまでの間存在しており、ハッキングフォーラムではこの脆弱性を使用して情報を取得したとする投稿が複数回行われていた。さらにTwitterがこの脆弱性を悪用した情報流出が発生したことを2022年8月に認めていた。
- Twitterには電話番号またはメールアドレスを使って利用者を特定できる機能「見つけやすさ」が存在するが、利用者はこの機能の有効とするかが設定できる。しかし2021年6月にTwitterが行ったコード変更にバグがあり、このプライバシー設定に関わらず利用者を特定することが出来てしまっていた。
- 約2億件のデータに含まれるメールアドレスの98%は過去にHIBPへ登録されていた既知のリークに含まれるものだった。Troy Hunt氏によれば、既知のリーク情報(Collection#1など)を転用して脆弱性が存在したAPIを悪用し今回の情報を取得した可能性を指摘している。*2
- 脆弱性は2022年1月にHackerOneを通じてTwitterへ報告が行われていたが、修正されるよりも前に悪用が行われていた。
約2億件のデータに含まれている情報は何か
- 流出している情報にパスワードは含まれておらずこの情報だけで不正ログインされることはないが、パスワードが推測されやすいものであったり、別のサービスに同一のメールアドレスを登録しパスワードを使いまわしをしている場合(そのサービスから情報が流出していると)影響を受ける可能性がある。Twitterも2要素認証を使用し認証を強化するよう注意を促している。
- データを使ってメールアドレスとTwitterアカウントを紐づけすることが可能。匿名・裏アカウントの特定などが行われる恐れもあり、Twitterは流出した(公開された)メールアドレスや電話番号を登録することは避けるよう呼び掛けている。
- これまでに複数回に渡り、ハッキングフォーラムなどに関連するデータの販売や公開が行われているが、内容に差異がみられる。
| ハッキングフォーラムへの投稿時期 | データ件数 | データの内容 |
|---|---|---|
| 2022年7月21日 (投稿時3万ドルで販売)*3 |
約540万件(5,485,636件) | ユーザーID、ユーザー名称、ユーザー名、場所、URL、自己紹介、非公開設定、フォロワー数、フォロー数、リスト数、アカウント作成日、Like数、認証状況、ツイート数、翻訳対象者?、プロフィール画像URL、メールアドレス |
| 2022年12月23日 (20万ドルで独占販売又は6万ドルで複数販売)*4 |
約4億件 | ユーザー名称、ユーザー名、フォロワー数、アカウント作成日(、一部電話番号を含む) |
| 2023年1月4日 (8クレジットで公開)*5 |
約2.2億件(221,608,279件) | ユーザー名称、ユーザー名、フォロワー数、アカウント作成日、メールアドレス |
- 2023年に公開されたデータは重複が削除されたと主張されるも、データには依然重複データが含まれている。また2022年11月にはこれら以外に約1700万件超のリストが出回っていたとの情報もある。*6
Twitter社が公式の見解公表、同社からのリークは否定
Update about an alleged incident regarding Twitter user data being sold online
- 利用者情報がネット上で出回っているという疑念についてのアップデートとして、Twitterがこの件に関して見解を公表。
- 問題の調査にあたったインシデント対応チームと、プライバシー・データ保護チームによれば、出回っているリーク情報の内、540万件以外のデータについてはTwitterのシステムの脆弱性を悪用して取得された証拠はないと否定した。
- またいずれのリークデータにもパスワードの侵害につながる可能性のあるパスワードそのもの等の情報は含まれていないことを確認したとコメントしている。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2021年6月 | Twitterがコード変更を行い、プライバシー設定に関わらず情報を取得できるバグが発生。(脆弱性) |
| 2021年12月頃 | 脆弱性を悪用してデータを取得する行為が行われる。 |
| 2022年1月2日 | HackerOneを通じてTwitterへ脆弱性情報が報告される。 |
| 2022年1月14日頃 | Twitter APIの脆弱性が修正される。 |
| 2022年2月12日 | HackerOneに報告された脆弱性情報が公開される。 |
| 2022年7月21日 | ハッキングフォーラムにAPIの脆弱性を悪用して約540万件のデータを取得したと主張する投稿が行われる。 |
| 2022年8月5日 | Twitterが脆弱性を悪用されたことで情報流出が発生したと公表。 |
| 2022年11月27日 | ハッキングフォーラムに同年7月に販売されていたとみられる約540万件のデータが公開される。 |
| 2022年12月23日 | ハッキングフォーラムにAPIの脆弱性を悪用して取得したと主張する約4億件のデータ販売の投稿が行われる。 |
| 2023年1月4日 | ハッキングフォーラムに約4億件の重複削除などを行ったと主張する約2億件のデータが公開される。 |
| 2023年1月6日頃 | Twitterの約2億件のデータの流出の可能性について報道。 |
| 2023年1月12日 | Twitterがリークに関して自社からの流出を否定する見解を公表。 |
更新履歴
- 2023年1月7日 AM 新規作成
- 2023年1月12日 PM 続報反映(Twitterの公式見解)
*1:ツイッター 利用者約2億3000万人分の個人情報 流出か,NHK,2023年1月6日
*2:https://twitter.com/troyhunt/status/1611111127605465091
*3:Twitter confirms zero-day used to expose data of 5.4 million accounts,Bleeping Computer,2022年8月5日
*4:Hacker claims to be selling Twitter data of 400 million users,Bleeping Computer,2022年12月26日
*5:200 million Twitter users' email addresses allegedly leaked online,Bleeping Comupter,2023年1月4日
*6:5.4 million Twitter users' stolen data leaked online — more shared privately,Bleeping Computer,2022年11月27日
