2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている

2億件超のTwitterアカウントの電子メールアドレスなどを含む個人情報が流出し、ハッカーフォーラムでわずか2ドル(約260円)で販売されていることが明らかとなりました。一連のデータは2021年の時点で、TwitterのAPIの脆弱(ぜいじゃく)性を悪用して盗み出されていたとみられています。

200 million Twitter users' email addresses allegedly leaked online
https://www.bleepingcomputer.com/news/security/200-million-twitter-users-email-addresses-allegedly-leaked-online/

Twitter leak of email addresses totals at least 200 million - The Washington Post
https://www.washingtonpost.com/technology/2023/01/04/witter-leak-emails-handles/

Twitter data of over 200 million users is on sale for just $2
https://www.androidheadlines.com/2023/01/twitter-data-200-million-users-on-sale-2-dollars.html

Twitterは2022年1月、バグ報奨金プログラムを通じて発覚した「メールアドレスや電話番号を入力するとリンクされたTwitter ID(アカウント作成時に自動で割り振られる識別番号)を取得できる」というTwitterのAPIの脆弱性を修正しました。この脆弱性は、2021年6月にTwitterが行ったコード更新によって生じたものとみられています。

ところが、一部のハッカーは脆弱性が修正される前に悪用してデータを盗み出しており、Twitter IDとメールアドレスや電話番号、そしてIDから得られる公開情報を紐付けたデータセットを作成していたとのこと。2022年8月には、ハッカーが540万人分のアカウント情報を3万ドル(約390万円)で販売していたことが報じられました。

Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売 - GIGAZINE

11月には、540万人分のユーザーデータがハッカーフォーラムで公開されていることが判明。さらに12月末には、ハッカーが合計4億件に上るとするアカウント情報の削除と引き換えに、Twitterのイーロン・マスクCEOを名指しして20万ドル(約2600万円)で購入するように要求する事態が発生しました。

ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ - GIGAZINE

そして2023年1月、ハッカーフォーラムにおいて合計2億件超に上るTwitterアカウントのデータが、わずか2ドルで販売されていることが報じられました。今回のデータは、12月にダークウェブで販売された4億件のデータセットから重複を除いたものとみられていますが、テクノロジー系メディアのBleepingComputerによると、今回のデータセットにも重複が確認されているとのことです。

データは合計59GBのテキストファイルで構成される6つのRARアーカイブとして販売され、約2億2160万行あります。以下はBleepingComputerが公開した流出データのサンプルで、ファイルの各行はメールアドレス・名前・ユーザー名・フォロワー数・アカウント作成日などで構成されています。

イスラエルのセキュリティ企業・Hudson Rockの共同創設者であるアロン・ガル氏は、「このデータベースはハッカー、政治的ハクティビスト、そしてもちろん政府によって、私たちのプライバシーをさらに侵害するために使用されるでしょう」と述べ、政府や権力者を批判するTwitterユーザーが危険にさらされる可能性があると指摘しました。

なお、BleepingComputerやアメリカの大手日刊紙であるワシントン・ポストはこの件についてTwitterにコメントを求めましたが、Twitterはいずれの問い合わせにも応答しなかったとのことです。

自分の個人情報が流出しているかどうかをチェックできるウェブサービスのHave I Been Pwned?(HIBP)は、すでに今回流出したTwitterアカウントのデータもリストに追加しているとのこと。HIBPの運営者であるトロイ・ハント氏は、今回流出したデータには一意のメールアドレスが2億1152万4284件含まれていたと述べています。