Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売

Twitterが、2021年6月に更新したコードにアカウントの電話番号とメールアドレスを取得可能な脆弱(ぜいじゃく)性があったことを明らかにしました。Twitterの発表以前に事態を報じていたニュースサイトのBleeping Computerによると、流出した情報は540万人分で、ハッカーがフォーラムで400万円の値をつけていたそうです。

An incident impacting some accounts and private information on Twitter
https://privacy.twitter.com/en/blog/2022/an-issue-affecting-some-anonymous-accounts

Hackers might have figured out your secret Twitter accounts - The Verge
https://www.theverge.com/2022/8/7/23295873/hackers-secret-twitter-accounts-security-flaw-vulnerability

Hacker selling Twitter account data of 5.4 million users for $30k
https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/

Twitter confirms zero-day used to expose data of 5.4 million accounts
https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/

Twitterによると脆弱性は、誰かが電話番号かメールアドレスをシステムに送信すると、どのTwitterアカウントに紐付けられたものかを通知するというもの。2021年6月に行ったコード更新の影響で生まれた脆弱性だとみられ、2022年1月にバグ報奨金プログラムを通じて報告があり、ただちに調査して修正を行ったとのこと。

セキュリティ企業のHackerOneがこの脆弱性に関するタイムラインを公開しており、2022年1月2日に報告がおこなれ、2022年1月14日に対応が完了、5040ドル(約68万円)の報奨金が支払われたことがわかります。

#1439026 Discoverability by phone number/email restriction bypass
https://hackerone.com/reports/1439026

しかし、フォーラムで「devil」を名乗るユーザーはこの修正以前に548万5636件分のデータを入手しており、3万ドル(約400万円)で販売していました。devilは、データに有名人や企業のものも含まれると主張しています。

ニュースサイト・Bleeping Computerは2022年7月22日にTwitterから盗み出されたデータが販売されている旨を報じ、Twitterに問い合わせを行っていますが、この時点ではTwitterは「データ侵害を確認できていない」と回答していました。