Twitter

ソース: DALL-E

アイルランドのデータ保護委員会 (DPC) は、ハッキング フォーラムで 540 万を超える Twitter ユーザー レコードに属する非公開情報が漏洩したという 2022 年 11 月のニュース報道を受けて、大規模な Twitter データ漏洩に関する調査を開始しました。

このデータは、Twitted が 1 月に修正した API の脆弱性を悪用して盗まれたもので、スクレイピングされた公開情報と、個人の電話番号と電子メール アドレスで構成されています。

アイルランドのプライバシー規制当局は、「DPCは、通知された個人データ侵害に関連して、Twitter International Unlimited Company(「TIC」)と連絡を取りました.TICは、データセットを生成するために使用されたソースの脆弱性であると主張し、GDPRコンプライアンスに関連して質問を提起しました.金曜日に。

「DPCは、これまでにこの問題に関してTICから提供された情報を検討した結果、GDPRおよび/または法律の1つまたは複数の条項が、Twitterユーザーに関して侵害されている可能性がある、および/または侵害されているという意見です。 ‘ 個人データ。”

Twitter の主要な EU ウォッチドッグは、Twitter がユーザーのデータの処理に関するデータ管理者としての義務を遵守しているかどうか、および一般データ保護規則 (EU GDPR) または 2018 年データ保護法の規定に違反しているかどうかを判断したいと考えています。

プライバシー監視機関は、2 年前に、GDPR によって課された 72 時間以内に違反を DPC に通知し、それを適切に文書化しなかったとして、 Twitter に 450,000 ユーロ (約 550,000 ドル) の罰金を科しました。

メタはまた、世界中の何億人ものユーザーの個人情報を公開した2021年のFacebookの大規模なデータ漏洩に対して、11月にDPCから2億6500万ユーロ(2億7550万ドル)の罰金を科されました.

Facebook のユーザー データは、当時有名なハッキング フォーラムでも共有されており、攻撃者が標的型攻撃に使用できるようになっていました。

盗まれた Twitter ユーザー データが 7 月から売りに出されている

540 万人を超える Twitter ユーザーの個人情報が、 2022 年 7 月にハッキング フォーラムで 3 万ドルで売りに出されました。

このデータのほとんどは、Twitter ID、名前、ログイン名、場所、検証済みステータスなどの公開情報でしたが、流出したデータベースには、メール アドレスや電話番号などのユーザーの非公開情報も含まれていました。

このデータはすべて、2021 年 12 月に収集されたもので、 HackerOne バグ報奨金プログラムを通じて公開された Twitter API の脆弱性を使用して収集されました。この脆弱性により、誰でも API に電話番号または電子メール アドレスを送信して、関連する Twitter ID にリンクすることが可能になりました。

盗まれたユーザー レコードのサンプルを Twitter で共有した後、同社は、2022 年 1 月に修正された API バグを使用して、攻撃者に関連するデータ侵害を受けたことを確認しました

Pompompurin は、Breached ハッキング フォーラムの所有者であり、別の API を使用してさらに 140 万人の停止された Twitter ユーザーの情報を収集しました。

9 月から 11 月にかけて、5,485,635 件の Twitter ユーザー レコードを含む同じデータベースがハッキング フォーラムで無料で共有されました。

記録には、個人のメール アドレスや電話番号などの公開および非公開のユーザー データのほか、Twitter ID、名前、スクリーン名、検証済みステータス、場所、URL、説明、フォロワー数、アカウントなどの公開スクレイピング データが含まれています。作成日、友達数、お気に入り数、ステータス数、プロフィール画像の URL。

スクレイピングされたTwitterデータを販売中
販売中のスクレイピング Twitter データ ()

他の何千万人ものユーザーのデータも盗まれる

セキュリティ専門家の Chad Loder は、 TwitterMastodonで、現在修正されている API バグを使用して収集された個人の電話番号と、検証済みのステータス、アカウント名、Twitter ID、略歴、スクリーンネーム。

「EUと米国の数百万のTwitterアカウントに影響を与える大規模なTwitterデータ侵害の証拠をたった今入手した」とLoder氏は述べた.

「影響を受けたアカウントのサンプルに連絡を取り、侵害されたデータが正確であることを確認しました。この侵害は2021年以前に発生しました。」

はその後、この 2 回目の Twitter リークの影響を受けた多数のユーザーに、電話番号が有効であることを確認し、この追加のデータ侵害も本物であることを確認しました。

2002 年 8 月に販売された元のデータには、このより大規模な漏洩データベースの電話番号は含まれていませんでした。これは、攻撃者間で交換された大量の Twitter ユーザー データと、以前に比べて Twitter のデータ侵害がどれほど重大であったかを示しています。知られています。

大規模な Twitter データ漏洩に関する情報
Mastodon で共有された、より大きな Twitter データ漏洩に関する情報 ()

また、流出した 2 番目のデータベースには 1,700 万件以上のレコードが含まれているとも言われましたが、この情報を独自に確認することはできませんでした。

個人ユーザー情報のこの追加データ ダンプについて Twitter に連絡しましたが、まだ応答を待っています。