AIが生成した青い鳥の破片のアート
出典: Dall-E による AI 生成

1 月に修正された API の脆弱性を使用して盗まれた非公開情報を含む 540 万件を超える Twitter ユーザー レコードが、ハッカー フォーラムで無料で共有されています。

数百万の Twitter レコードの別の大規模で潜在的に重要なデータ ダンプもセキュリティ研究者によって開示されており、このバグが攻撃者によってどれほど広く悪用されたかを示しています。

データは、スクレイピングされた公開情報と、非公開の電話番号と電子メール アドレスで構成されます。

ツイッターのデータ侵害

昨年 7 月、ハッキング フォーラムで540 万人を超える Twitter ユーザーの個人情報が3 万ドルで販売されました。

データのほとんどは、Twitter ID、名前、ログイン名、場所、確認済みステータスなどの公開情報で構成されていましたが、電話番号やメール アドレスなどの個人情報も含まれていました。

スクレイピングされた Twitter データを販売するフォーラム投稿
スクレイピングされた Twitter データを販売するフォーラム投稿
ソース:

このデータは、 HackerOne バグ報奨金プログラムで公開された Twitter API の脆弱性を使用して 2021 年 12 月に収集されたもので、人々は電話番号と電子メール アドレスを API に送信して、関連する Twitter ID を取得することができました。

次に、攻撃者はこの ID を使用して、アカウントに関する公開情報をスクレイピングし、以下に示すように、非公開情報と公開情報の両方を含むユーザー レコードを作成する可能性があります。

リークされた Twitter ユーザー レコードの 1 つの編集済みの例
リークされた Twitter ユーザー レコードの 1 つの編集済みの例
ソース:

HackerOne の開示が漏洩したかどうかは不明ですが、複数の攻撃者がこのバグを利用して Twitter から個人情報を盗んでいたとのことです。

ユーザー レコードのサンプルを Twitter と共有した後、ソーシャル メディア企業は、2022 年 1 月に修正された API バグを使用してデータ侵害を受けたことを確認しました

Breached ハッキング フォーラムのオーナーである Pompompurin 氏は、「Devil」として知られる別の脅威アクターが脆弱性を共有した後、バグを悪用し、Twitter ユーザー レコードの大量のダンプを作成した責任があると今週末に語った。

販売された 540 万件のレコードに加えて、別の API を使用して収集された、停止されたユーザーの Twitter プロファイルがさらに 140 万件あり、合計で約 700 万件の Twitter プロファイルに個人情報が含まれていました。

ポムポムプリン氏は、この 2 番目のデータ ダンプは販売されておらず、少数の人々の間でのみ非公開で共有されていたと述べています。

ハッキング フォーラムで共有された Twitter データ

9 月、そして最近では 11 月 24 日に、540 万件の Twitter レコードがハッキング フォーラムで無料で共有されました。

540 万件の Twitter レコードがオンラインで無料で流出
540 万件の Twitter レコードがオンラインで無料で流出
ソース:

ポムポムプリンは、これが 8 月に販売されたデータと同じであることを確認しており、5,485,635 の Twitter ユーザー レコードが含まれています。

これらの記録には、非公開の電子メール アドレスまたは電話番号と、アカウントの Twitter ID、名前、スクリーン名、検証済みステータス、場所、URL、説明、フォロワー数、アカウント作成日、友人数、お気に入り数、ステータス数、プロフィール画像の URL。

個人的に作成されたさらに大きなデータ ダンプ

脅威アクターが 540 万件のレコードを無料で公開したことは懸念されますが、同じ脆弱性を使用してさらに大きなデータ ダンプが作成されたと言われています。

このデータ ダンプには、API バグを使用して収集された個人の電話番号、検証済みステータス、アカウント名、Twitter ID、略歴、スクリーン名で構成される数千万の Twitter レコードが含まれている可能性があります。

このより重大なデータ侵害のニュースは、最初に Twitterでニュースを発表し、投稿後すぐに停止されたセキュリティ専門家の Chad Loder からもたらされました。 Loder はその後、この大規模なデータ侵害の編集済みサンプルをMastodonに投稿しました。

「EU と米国の数百万の Twitter アカウントに影響を与える大規模な Twitter データ侵害の証拠をたった今受け取りました。影響を受けたアカウントのサンプルに連絡を取り、侵害されたデータが正確であることを確認しました。この侵害は 2021 年以前に発生したものではありません」ローダーがツイッターでシェア。

Chad Loder が Mastodon での大規模な侵害のニュースを共有
Chad Loder が Mastodon での大規模な侵害のニュースを共有
ソース:

は、これまで知られていなかったこの Twitter データ ダンプのサンプル ファイルを入手しました。このファイルには、フランスのユーザーの 1,377,132 の電話番号が含まれています。

その後、このリークで多数のユーザーに電話番号が有効であることを確認し、この追加のデータ侵害が本物であることを確認しました.

さらに、これらの電話番号は 8 月に販売された元のデータには含まれていません。これは、Twitter のデータ侵害がいかに大規模であり、攻撃者間で大量のユーザー データが流通していたことを示しています。

ポムポムプリンはまた、自分たちには責任がなく、この新たに発見されたデータ ダンプを誰が作成したのかわからなかったことを確認しました。これは、他の人がこの API の脆弱性を利用していたことを示しています。

は、この新たに発見されたデータ ダンプが、ヨーロッパ、イスラエル、米国などの国と市外局番ごとに分割された多数のファイルで構成されていることを発見しました。

1,700 万を超えるレコードで構成されていると言われましたが、これを個別に確認することはできませんでした。

このデータは、標的型フィッシング攻撃に使用されてログイン資格情報にアクセスできる可能性があるため、Twitter から送信されたと主張するすべての電子メールを精査することが不可欠です。

アカウントが停止された、ログインに問題がある、または認証済みステータスが失われようとしているという内容のメールを受け取った場合、Twitter 以外のドメインにログインし、メールを無視してそのまま削除するよう求められます。フィッシングの可能性があります。

は金曜日に、この個人情報の追加データ ダンプについて Twitter に連絡しましたが、まだ応答を受け取っていません。