Twitter は本日、個人の電話番号やメールアドレスを含む何百万人ものメンバーのプロフィールが最近流出したのは、同社が 2022 年 8 月に開示したのと同じデータ侵害が原因であることを確認しました。
Twitter は、インシデント対応チームが 2022 年 11 月に流出したユーザー データを分析し、2022 年 1 月に修正される前に同じ脆弱性を使用して収集されたことを確認したと述べています。
「2022 年 11 月、Twitter ユーザーのデータがオンラインで流出したとされる報道が一部報道されました」 と最新情報を読む.
「このニュースを知るとすぐに、Twitter のインシデント対応チームは、新しいレポートのデータを 2022 年 7 月 21 日にメディアによって報告されたデータと比較しました。比較の結果、公開されたデータは両方のケースで同じであることが判明しました。」 – ツイッター。
ハッキングフォーラムでデータが流出
2022 年 1 月、Twitter はバグ報奨金プログラムを通じて、API の脆弱性により、攻撃者が電子メール アドレスまたは電話番号をフィードし、登録済みアカウントに関連付けられた Twitter ID を取得できるというレポートを受け取りました。
メンバーの電話番号と電子メール アドレスは公開されることを意図していないため、匿名で投稿したい Twitter ユーザーに重大なプライバシー リスクをもたらす可能性があります。
Twitter が問題を修正するまでに、攻撃者は API の脆弱性を利用して数百万の電子メール アドレスと電話番号を入力し、公開データと非公開データで構成される 540 万のユーザー プロファイルを作成していました。
このスクレイピングされたデータは、2022 年 7 月にハッカー フォーラムで 30,000 ドルで売りに出されました。
2022 年 9 月と 2022 年 11 月に、脅威アクターは、2021 年にスクレイピングされた540 万件のレコードの完全なセットを含む JSON ファイルをリリースしました。
同じ頃、研究者は、最初の 540 万人のユーザー侵害には含まれていなかった脆弱性を使用してスクレイピングされた追加の Twitter プロファイルのサンプルも共有しました。
このデータセットははるかに広範囲で、同じ API の欠陥を使用して収集された 1,700 万件のレコードが含まれていると言われています。
この追加のデータ セットの範囲を確認することはできませんでしたが、以前は公開されていなかった 140 万件のフランスの Twitter アカウント レコードを含むデータ セットのサンプルを調べることができました。
.
残念ながら、Twitter の最新のアップデートは、先月流出したデータが以前に公開された脆弱性に関連していることを示していますが、同社は暴露されたユーザーの正確な数を確認していません.
Twitter は、ユーザーが 2 要素認証を有効にし、認証アプリまたはハードウェア キーを使用してアカウントを保護し、Twitter アカウントに関連する受信メールに特に注意することを推奨しています。
「また、Twitter ユーザーは、電子メールであらゆる種類の通信を受信する際に、特に警戒を怠らないようお勧めします。脅威アクターは、漏洩した情報を利用して非常に効果的なフィッシング キャンペーンを作成する可能性があるためです」と Twitter は警告しています。
「切迫感を伝えるメールや個人情報を要求するメールには注意し、メールが正当な Twitter ソースから送信されていることを常に再確認してください。」
更新 12/12/22 – 侵害が 2021 年に発生し、8 月に確認されたことを反映するようにタイトルを変更しました。
Comments