Twitterは米国時間8月5日、2021年12月に、ゼロディ攻撃により540万を超えるユーザーアカウントのデータが盗まれたセキュリティ侵害を確認し、ユーザーに警告しました。
Twitterゼロデイ攻撃で540万以上の匿名アカウント情報が暴露
Twitterは公式ブログで、2021年6 月にコードを更新したことが原因で発生したバグのゼロディ攻撃により、ユーザーのアカウント情報がハッカーにより盗まれたことを発表。
バグは、電子メールアドレスまたは電話番号をTwitterのシステムに送信すると、Twitterのシステムは、送信された電子メールアドレスまたは電話番号がどのTwitterアカウントに関連付けられているかを送信者に通知してしまうものでした。
2022年1月、バグ報奨金プログラムを通じて、システムに脆弱性があるという報告を受けTwitterは修正したとのことですが、修正までの間にハッカーにより、ユーザーアカウントの情報が流出したもようです。
Twitterは、影響を受けた可能性のあるすべてのアカウントを確認することはできず、国家やその他の関係者の標的になる可能性のある仮名アカウントを持つ人々に特に注意を払っているため、この更新を公開していると伝えています。
BleepingComputer/ハッカーフォーラムで販売されているデータ例
BleepingComputerによると、ハッカーは2021年12月に540万人以上のTwitterユーザーのプロファイルを作成することができ、検証済みの電話番号またはメールアドレスが含まれ、フォロワー数、スクリーン名、ログイン名、場所、プロフィール写真のURLなどの公開情報が収集されました。
Twitterは、侵害の影響を受けた正確な人数を特定できないと述べていますが、BleepingComputerが接触できた攻撃者はこの欠陥を利用して5,485,636人のTwitterユーザーのデータを収集できたと伝えたとのことです。
ハッカーは、データをダークウェブで3万米ドルで売りに出し、提示価格よりも安い価格で少なくとも2人の購入者がいることが確認されています。
Twitterは、データが流出したユーザーへの通知を始めているとのことですが、2要素認証を有効にし、不正なログインからアカウントを保護するように警告しています。