ツイッター社は修正済みのゼロデイ脆弱性により、匿名アカウントの身元バレに繋がる情報が漏えいしていたことを認めました。これを悪用したハッカーが、540万人分もの名簿を販売していたとの報道を受けてのことです。
この情報漏えいは、今年1月に発見された脆弱性により可能になったこと。Twitterのアカウントに紐付けられた電話番号やメールアドレスが、たとえプライバシー設定で非表示にされていても取得できてしまうというものです。
それにより作られた540万件もの名簿は売りに出されており、Restore Privacyもサンプルをダウンロードしたところ、実在の人物のものだと確認が取れたと報告しています。
またBleepingComputerによれば、この名簿は2021年12月に盗み出されたデータから作られたものだそうです。それは電話番号やメールアドレスのほか、フォロワー数やユーザー名、ログインネームや住所、プロフィール画像URLなどの公開情報もセットになっているとのこと。その時点でハッカーは3万ドルで販売しており、関心のある買い手もいると述べていたと伝えられています。
そしてツイッター社は悪用された脆弱性が、2022年1月にバグ報奨金プログラムの一環として報告されたゼロデイ脆弱性と同じものだったと認めたしだいです。このバグは2021年6月に更新されたコードによるもので、報告を受けたとき直ちに修正したとのこと。その当時は「誰かがこの脆弱性を利用したという証拠はなかった」と語っています。
今回の情報漏えいではパスワードの流出はなかったものの、ツイッター社はセキュリティ対策として、不正なログインを防ぐためにも、アカウントに2ファクタ認証を有効にするようユーザーに呼びかけています。
とはいえ、匿名アカウントで活躍している人は身元を隠すなりの事情が何かしらあるはず。すでに知人や取引先に広く知られている電話番号やメールアドレスからユーザー名を逆引きできれば、それは身元バレにも繋がることになります。
そのためツイッター社は、すでに知れ渡っている電話番号やアドレスなどを使わないようにして、なるべく匿名性を守るようにお勧めしています。
それが普通の人であれば、最悪でも人間関係が壊れるか仕事を失うだけで済みますが、言論を弾圧する政府を批判するジャーナリストなどは命取りにもなりかねません。ツイッター社も、国家やその他の組織に狙われる可能性ある匿名アカウントの人々に、特に注意を呼びかけています。
またセキュリティを固めるための2ファクタ認証も、電話番号が漏れてしまえば守りが半減してしまいます。今回はツイッター社の落ち度とはいえ、ユーザーも他人には教えていない電話番号を登録する、漏えいが通知されたなら電話番号を変えるなど、自衛策を講じた方がよさそうです。
Source:Bleeping Computer
via:9to5Mac