での報告後 2022 年末に、ハッカーが 4 億人の Twitter ユーザーから盗んだデータを販売していたことが判明しましたが、研究者は現在、広く流通している約 2 億人のユーザーにリンクされた電子メール アドレスの山は、重複するエントリが削除された、より大きな山の中の洗練されたバージョンである可能性が高いと述べています。 ソーシャルネットワークはまだ大規模な露出についてコメントしていませんが、データのキャッシュは、リークの重大度と、その結果として誰が最も危険にさらされている可能性があるかを明らかにしています.
2021 年 6 月から 2022 年 1 月まで、Twitter アプリケーション プログラミング インターフェース (API) にバグがあり、攻撃者がメール アドレスなどの連絡先情報を送信し、関連する Twitter アカウントがあればそれを受け取ることができました。 パッチが適用される前、攻撃者はこの欠陥を悪用して、ソーシャル ネットワークからデータを「スクレイピング」しました。 このバグにより、ハッカーがパスワードやその他の機密情報 (DM など) にアクセスすることはできませんでしたが、仮名であることが多い Twitter アカウントと、それにリンクされている電子メール アドレスと電話番号との間の接続が明らかになり、ユーザーを特定できる可能性がありました。
ライブ中に、この脆弱性は複数のアクターによって悪用され、さまざまなデータ コレクションが作成されたようです。 夏以降、犯罪フォーラムで出回っていたものには、約 540 万人の Twitter ユーザーの電子メール アドレスと電話番号が含まれていました。 新たに発見された大規模な宝物には、電子メール アドレスしか含まれていないようです。 ただし、データが広範に流通すると、フィッシング攻撃、ID 盗難の試み、およびその他の個人を標的とする攻撃が助長されるリスクが生じます。
Twitter は WIRED のコメント要請に返答しなかった。 会社 書きました 8 月の開示での API の脆弱性について: 「これを知ったとき、すぐに調査して修正しました。 その時点で、誰かが脆弱性を利用したことを示す証拠はありませんでした。」 どうやら、Twitter のテレメトリは、悪意のあるスクレイピングを検出するには不十分だったようです。
Twitter は、API の欠陥によって大量スクレイピングにデータを公開する最初のプラットフォームではありません。このようなシナリオでは、悪意のある悪用の結果として、実際にいくつの異なるデータが存在するかについて混乱が生じるのが一般的です。 ただし、これらのインシデントは、犯罪エコシステム内のユーザーに関してすでに存在する盗まれた大量のデータに、より多くの接続と検証を追加するため、依然として重要です.
「明らかに、この API の脆弱性を認識していた複数の人物と、それをスクレイピングした複数の人物がいます。 さまざまな人がさまざまなものをこすり落としましたか? トローブはいくつありますか? それは問題ではありません」と、侵害追跡サイト HaveIBeenPwned の創設者である Troy Hunt 氏は言います。 Hunt は Twitter のデータ セットを HaveIBeenPwned に取り込み、2 億を超えるアカウントに関する情報を表していると述べています。 メール アドレスの 98% は、HaveIBeenPwned によって記録された過去の侵害ですでに公開されていました。 Hunt は、彼のサービスの 440 万人の電子メール購読者のうち、106 万 4000 人近くに通知電子メールを送信したと言います。
「7 桁のメールを送信したのは初めてです」と彼は言います。 「加入者の全コーパスのほぼ 4 分の 1 は本当に重要です。 しかし、これの多くはすでに存在していたので、これが影響の点でロングテールを持つインシデントになるとは思いません. しかし、それは人々の匿名化を解除する可能性があります. 私がもっと心配しているのは、プライバシーを守りたいと思っている個人です。」