Twitter は、既知のサイバー犯罪フォーラムで売りに出された 540 万の Twitter アカウントの情報を脅威アクターが収集できるセキュリティ上の脆弱性を修正したと述べています。
この脆弱性により、誰でも既知のユーザーの電話番号または電子メール アドレスを入力し、それが既存の Twitter アカウントに関連付けられているかどうかを知ることができ、仮名アカウントの ID が公開される可能性がありました。
で 簡単な声明 金曜日に公開されたマイクロブログの巨人は、「誰かが電子メールアドレスまたは電話番号をTwitterのシステムに送信した場合、Twitterのシステムは、送信された電子メールアドレスまたは電話番号が関連付けられているTwitterアカウントがある場合、その人に通知します。」
Twitter は、バグが最初にコードベースに導入されてから 6 か月後の 1 月にバグを修正したと述べました。 バグバウンティレポート 脆弱性を開示したことで 6,000 ドルを授与されたセキュリティ研究者によるものです。
バグ報奨金レポートによると、この脆弱性は、プライベート アカウントまたは仮名アカウントを持つユーザーに「重大な脅威」をもたらし、「データベースの作成」または「Twitter ユーザー ベースの大部分」の列挙に使用される可能性があります。 これは、セキュリティ研究者が 1,700 万の電話番号と Twitter アカウントを照合できるようにした、2019 年後半に発見された脆弱性に似ています。
しかし、研究者の警告は遅すぎました。 ハッカーは、その 6 か月間にすでにこの脆弱性を悪用して、540 万件の Twitter アカウントの電子メール アドレスと電話番号のデータベースを作成していました。
ツイッターは、不特定の人物から搾取について知ったと述べた プレスリポート 7 月に、サイバー犯罪フォーラムで、「有名人から企業まで」のユーザー データと、カスタムまたは非常に人気のあるソーシャル メディアおよびゲームのユーザー名に言及している OG を持っていると主張するリストが見つかりました。
Twitterは、「販売されている入手可能なデータのサンプルを調べたところ、問題が解決される前に悪意のある人物が問題を利用していたことを確認しました。 「この問題の影響を受けたことを確認できるアカウント所有者に直接通知します。」
これは、近年 Twitter を襲った最新のセキュリティ インシデントです。 5 月、Twitter は、ユーザーが 2 要素認証を設定するために送信した電話番号と電子メール アドレスをターゲティング広告に悪用したとして、連邦取引委員会との和解で 1 億 5000 万ドルを支払うことに同意しました。