Restore Privacyは7月21日(米国時間)、「Verified Twitter Vulnerability Exposes Data from 5.4 Million Accounts|RestorePrivacy」において、540万人分のTwitterアカウント情報が流出したと伝えた。2022年1月に発覚したTwitterの脆弱性が悪用され、サイバー犯罪者によって540万人のユーザーのアカウントデータが窃取された可能性が浮上した。
今年1月、バグ報奨金プラットフォーム「HackerOne」のユーザーであるzhirinovskiy氏によって、プライバシー設定で非表示にしてもTwitterアカウントに関連する電話番号やメールアドレスが取得できてしまうという脆弱性が報告されていた。このバグはTwitterのAndroidクライアントで使われている認証プロセスで発生していた。
Twitterは発見された脆弱性がセキュリティ上問題であることを認め、さらに調査を行うことを約束。発見した同氏に対して5,040ドルのバグ報奨金を授与していた。しかしながら、この脆弱性から取得したとされるTwitterのアカウントデータがハッキングフォーラムで販売されていたことが明らかとなった。
販売されたデータには540万人のTwitterアカウントの情報が含まれているされ、同フォーラムのオーナーは、HackerOneに報告されたTwitterの脆弱性によって流出したと指摘している。
Restore Privacyは同フォーラムに投稿されたアカウントデータのサンプルをダウンロードし、検証および分析を実施。世界中のTwitterアカウント情報が含まれており、プロフィール情報だけでなく、Twitterユーザのメールや電話番号が含まれていたと報告している。
このデータを販売しているユーザーは、すべての情報はHackerOneですでに開示されていると返答。このデータに対して、少なくとも3万ドルを要求しているとのことだ。