Twitterアプリに電話番号経由で個人情報が簡単に取得されてしまうバグが発見される

by LoboStudioHamburg

Twitterアプリが実装している機能に存在するセキュリティ上のバグを悪用し、ユーザーの個人情報を取得することが可能となっていたことが明らかになっています。

A Twitter app bug was used to match 17 million phone numbers to user accounts | TechCrunch
https://techcrunch.com/2019/12/24/twitter-android-bug-phone-numbers/

セキュリティ研究者のIbrahim Balic氏が、Twitter公式の「連絡先をアップロードして管理する方法」にはセキュリティ上の欠陥が存在すると指摘しています。Balic氏によると「もしもあなた自身の電話番号をアップロードすれば、あなたのTwitterアカウントのユーザー情報が返ってくる」とのことで、ユーザーの個人情報を簡単に知られてしまう危険性があると指摘しています。

Balic氏によると、Twitterの「連絡先をアップロードして管理する方法」では、連続した形式の電話番号リストがアップロードされても、ユーザーの個人情報が取得できないようになっているそうです。これは明らかに「連絡先をアップロードして管理する方法」を用いて電話番号に紐付けられたアカウントの個人情報を取得しようとすることを防ぐための機能であるとBalic氏。

しかし、20億件以上の電話番号を自動生成し、ランダム化してAndroidアプリ版のTwitter経由でアップロードすると、膨大な数の電話番号と紐付けられたアカウントの個人情報を取得することができてしまうとのこと。なお、電話番号とTwitterユーザーの個人情報が手元にあれば、パスワードをリセットしてアカウントに不正にログインすることも可能になります。

by edar

Balic氏は「連絡先をアップロードして管理する方法」を用い、自動生成した電話番号と個人情報を照合するという試みを2カ月にわたって続けており、取得できた個人情報は主にイスラエル・トルコ・イラン・ギリシャ・アルメニア・フランス・ドイツのユーザーのものと述べています。なお、2019年12月20日にBalic氏の取り組みを検知したTwitterがアクセスをブロックしたため、それ以降を調査を続けられなくなった模様。

Balic氏は海外メディアのTechCrunchに対して、個人情報が取得できた電話番号のサンプルを提供しています。入手した電話番号と個人情報をTechCrunchが独自に調査したところ、サンプルの中にはイスラエルの政治家の情報も含まれていたそうです。

Balic氏は自身が発見した脆弱性の存在をTwitterに警告していませんが、個人情報が取得できたアカウントのうち、政治家や役人など著名なTwitterユーザーの一部に対しては、電話番号を用いてWhatsApp経由で直接警告したそうです。

by MikeRenpening

TechCrunchがこの件についてTwitterに問い合わせたところ、広報担当者から「このバグが再び悪用されることがないよう努力しています。このバグの存在を知った後、すぐに我々は個人情報に不適切にアクセスするアカウントをブロックしました。Twitterを使用する人々のプライバシーと安全を保護することが我々の最優先事項であり、TwitterのAPIに起因するスパムや悪用を迅速に阻止することに引き続き注力します」という回答があったそうです。