Twitterに1,700万件の電話番号を抜き取られるバグ~研究者指摘
Twitterのアカウントに電話番号を紐付けるのはリスクかも知れません。Twitterの脆弱性を利用して、1,700万件の電話番号が抜き取られるバグの存在が発表されました(現在は対処済)。
通常はアップロードできないが…
イブラハム・バリック氏が発見したのは、連絡先をアップロードする機能を利用し、自動生成した大量の電話番号に紐付けられたアカウントを探す方法です。通常この機能は、電話番号を通して友人のアカウントを気軽に発見するために使われます(発見を望んでいないユーザーも多いでしょうが)。
Twitterは対策として、数字が連続するような電話番号のリストを拒否する仕様を採っていますが、生成された番号がランダムの場合は、Androidアプリを通してアップロードできてしまいます(Androidアプリでのみ可能なバグ)。これに目をつけたバリック氏は、20億以上の電話番号をランダムに生成、2カ月かけて1,700万件のユーザー情報を入手することに成功します。
バリック氏は、生成した番号から特定できた重要人物(政治家や公式アカウント)の一部に対し、WhatsAppのグループ機能で警告を行いました。Twitterにはバグを報告しなかったそうです。ただし、最終的にTwitter側がバリック氏の挙動に気づいたことで、このバグは対処されました。
過去にはCEOも被害に
幸いにも今回は、バグの発見者が悪意ある攻撃者ではなかったために大事にはなりませんでした。
ただし、Twitterアカウントと電話番号を紐付ける仕組みを悪用する事件はしばしば発生しており、最近もTwitterの最高経営責任者(CEO)を務めるジャック・ドーシー氏のアカウントが乗っ取られたばかりです。
こうした事情を踏まえ、最近はTwitter側も番号紐付けのリスクを認識しており、19年11月にはアカウントのセキュリティを強化する「2要素認証」の電話番号登録を不要としています。
Source:TechCrunch
(kihachi)