Twitterは2023年1月11日(米国時間)、「Update about an alleged incident regarding Twitter user data being sold online」において、2022年から2023年にかけて続いている情報漏洩に関する調査結果を報告した。
Twitterは2022年から2023年にかけて発生したインシデントや報道に関する概要を次のように説明。
- 2021年6月のコード更新で脆弱性が発生した。2022年1月のバグバウンティプログラムを通じてこの脆弱性が明らかになり、同社は調査および修正を実施した。
- 2022年7月、前述した脆弱性を悪用される可能性があること、および、収集したデータの売却申し出を受けた。脆弱性修正前に悪質な業者による悪用があったことを確認した。
- 2022年11月、Twitterのユーザーデータがネットに流出しているという報道が行われた。報道を受けて調査を行った結果、流出したとされるデータは2022年7月21日にメディアが報じたデータと同一であることがわかった。
- 2022年12月、4億人以上のTwitter関連ユーザーのデータ流出を示唆する報道が行われた。
- 2023年1月、2億件のアカウントデータを販売するという試みの報道が行われた。
こうした状況においてTwitterは、同社が実施した調査結果を次のように報告した。
- 2022年11月に報道された540万件のユーザアカウントは、2022年8月に流出したものと同じであることがわかった。
- 4億件のユーザーデータは、以前報告された事件と新しい事件のいずれとも関連づけることができなかった。
- 2億件のデータセットは、以前に報告された事件ともTwitterシステムの悪用に由来するデータとも関連付けることができなかった。
- 2つのデータセットは同じものだが、2つ目のデータセットでは重複する項目が削除されていた。
- 分析したどのデータセットにもパスワードやパスワード漏洩につながるデータは含まれていなかった。
Twitterはこうした調査結果に基づいて、「オンラインで販売されているデータがTwitterシステムの脆弱性を悪用して入手されたデータであることを示す証拠はない」と説明するとともに、「このデータはさまざまなソースを通じてすでにオンラインで公開されているデータの集合体である可能性が高い」と結論付けている。
Twitterはユーザーに対して二要素認証(2FA: Two-Factor Authentication)を有効化することを推奨しているほか、Twitterで使っている電子メールで連絡を受ける場合は特に警戒するように呼びかけている。