Twitterの脆弱性は1月に発見され、Twitterによって修正されました。しかし、ユーザーの個人情報を含むデータベースにアクセスできるハッカーが、現在その情報を販売しています。

1月に発見されたTwitterの脆弱性が、脅威アクターによって悪用され、アカウントの個人情報へのアクセスに利用されています。この情報は540万人のユーザーから取得されたとされています。Twitterは既にこの脆弱性を修正しましたが、この脆弱性を悪用して取得されたとされるデータベースは現在、人気のハッキングフォーラムで販売されています。

HackerOneは木曜日の投稿で、Twitterアカウントに関連付けられた電話番号やメールアドレスを攻撃者が取得できる脆弱性を報告しました。これは、ユーザーがプライバシー設定でこれらの情報を非表示にしているかどうかに関係なく発生します。

Twitterの脆弱性によりユーザーの個人情報が漏洩

Restore Privacyによると、このバグはTwitterのAndroidクライアントに特有のもので、Twitterの認証プロセス中に発生したとのことです。HackerOneユーザーの「zhrionskiy」氏が今年1月1日にバグレポートを提出しました。

HackerOneのユーザーはこう述べた。

これは深刻な脅威です。メールアドレスや電話番号による検索を制限されているユーザーを見つけられるだけでなく、スクリプトやコーディングの基礎知識を持つ攻撃者であれば、これまで列挙できなかったTwitterユーザーベースの大部分を列挙できます（電話番号やメールアドレスとユーザー名を関連付けたデータベースを作成）。このようなデータベースは、悪意のある第三者に広告目的で販売されたり、有名人を標的とした様々な悪意ある活動に利用されたりする可能性があります。

さらに、HackerOneのレポートでは、脆弱性を再現してユーザーデータを取得する方法も説明されています。レポート公開から5日後、Twitterはこれを「有効なセキュリティ問題」と認め、調査を約束しました。Twitterは最終的に問題を修正し、Zhrinovskiy氏は5,040ドルの報奨金を受け取りました。

しかし、予想通り、誰かがTwitter情報を売り始めました。

Restore Privacyは、有名なハッキングフォーラムのユーザーが、540万人のユーザーを収録したとされるTwitterデータベースを販売していると報告しています。「devil」と名乗るこのユーザーは、このデータセットには著名人、企業、無作為な人物、「OG」などが含まれていると主張しています。フォーラムの所有者は、この情報が正確であり、脆弱性から得られたものであることを確認しています。

売り手はデータベースを3万ドルで売りに出しています。さらに、Restore Privacyは データベースの一部サンプルを入手し、実在の人物にリンクしていることを確認しました。

Twitterは最近、多くの問題を抱えており、これは事態をさらに悪化させています。現時点では、自分の情報がデータベースに登録されているかどうかを確認する方法はありません。メールに添付されたリンクは開かないようにし、身を守るようにしてください。また、ブックマークは自分で管理し、フィッシング攻撃にも注意しましょう。