米Twitterは現地時間8月5日、サービスの脆弱性が利用され、一部アカウントの個人情報が流出し、既に悪用されていたと発表。流出件数は明らかにしていない。この問題の影響を受けたユーザーには直接通知予定。同社では、2要素認証で不正ログインからアカウントを保護することを推奨している。
同社では、本名を明かさずにTwitterアカウントを運用している場合、他人がアカウントを特定できる可能性があるリスクを理解しているとして「このような事態が発生したことを深く後悔している」とコメント。身元をできるだけ隠せるよう、「Twitterアカウントには、電話番号やメールアドレスなど、一般に公開されているものを登録しない」よう呼びかけている。
また、この問題で「パスワードの流出はなかった」とした上で、認証アプリやハードウェアセキュリティキーを使って2要素認証を有効にし、不正ログインからアカウントを保護することを推奨している。
他人がアカウント特定可能な脆弱性突いて個人情報流出
同社は2022年1月、Twitterサービスの脆弱性を報告した人に報奨金を支払うプログラム(bug bounty program)を通じて、システムに脆弱性があると報告を受けた。
この脆弱性により、何者かがメールアドレスや電話番号などをシステムに送信すると、送信されたメールアドレスや電話番号が関連付けられているTwitterアカウントが存在する場合、その情報を送ってきた人に伝えることになる。電話番号やメールアドレスを使ってアカウント特定が可能になってしまったかたちだ。
この問題は、2021年6月にTwitterがコードを更新したことに起因するもので、同社は報告を受けてすぐに調査を行い、脆弱性を修正。その時点ではこの脆弱性が利用されたことを示す証拠はなかったという。
しかし2022年7月、同社は何者かがこの脆弱性を利用し、収集された情報が売却されている可能性があることを報道で確認。販売可能なデータのサンプルを確認した結果、この問題が対処される前に、悪質な業者に利用されていたことを確認したとしている。
この問題の影響を受けたことを確認できたアカウント所有者には、直接通知する予定。現段階でこの情報を公開した理由について、Twitterでは「影響を受けた可能性があるすべてのアカウントを確認できているわけではない」とし、「特に国家やその他の関係者に狙われる可能性のある偽名アカウントを持つ人々に対して配慮しているため」と説明している。