Twitter、電話番号やメルアドに関連付けられたアカウントの収集を認める
2022年8月12日 16:33
headless 曰く、 Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した(Twitter のブログ記事、The Verge の記事、BetaNews の記事、HackRead の記事)。
この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。
Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。