米国時間2月3日、Twitterは「偽アカウントの大規模ネットワーク」および「さまざまな国に存在する」数多くの偽アカウントを、この週末に削除したことを発表した。彼らは電話番号とユーザーアカウントをマッチングする機能を悪用していた。
TechCrunchはこの問題を昨年12月24日に取り上げたが、その日はTwitterが悪用の存在に気づいた日でもあった。セキュリティー研究者のIbrahim Balic「イブラハム・バリック)氏は、TwitterのAndroidアプリにバグがあり、同氏が公式APIを通じて数百万件の電話番号を送ったところ、関連するユーザーアカウントを取得できたことを報告した。
この機能の意図していた用途は、自分の番号を知っている友達にTwitterアカウントを見つけてもらうためだった。しかし、数百万件の番号を送るのは明らかに想定された利用方法を超えていた。
この機能をオフにしておけば、このバグの影響を受けることはない。EU圏のユーザーにとっては幸いなことに、この機能がオプトインになっている。しかし、それ以外の国々ではオプトアウトが必要だ。つまり、電話番号をアカウントに結びつけている人は(オフにしない限り)影響を受ける。
しかも、電話番号の中には2要素認証に使われているものもあるため、EU圏外のユーザーは知らない間にこの被害にあう脆弱性がある。
関連記事:Twitter admits it used two-factor phone numbers and emails for serving targeted ads
Twitterが警告を受け、ベリック氏のものされる問題のネットワークを閉鎖したあと、同社の調査チームはこの欠陥を悪用しているアカウントを大量に発見したが、その数については明らかにしていない。
「当社は、イラン、イスラエル、マレーシアの特定IPアドレスから、特に大量のリクエストが送られていることを発見した」と同社はセキュリティー文書に書いた。「これらのIPアドレスの中には、国家が支援する組織とつながりのあるものが存在する可能性がある」。
この疑念は、イランのIPアドレスからTwitterに対して制限されていないアクセスが見られたことでも裏付けられる。イランではTwitterのアクセスは制限を受けていることから、この事実は政府の関与を示唆している。ベリック氏はTechCrunchの質問に対して、自分の行為はいかなる国家の支援も受けていないと答えた。
同機能を乱用していることが疑われるアカウントはすべて停止されており、API自体もこの種の悪用を防ぐための修正が施されている。TechCrunchはTwitterに、停止されたアカウント数を尋ねている。
昨年Twitterは、ユーザーデータの露出と漏洩の事象がいくつもあった。さらにTwitterは、広告パートナーにユーザーデータを渡しすぎたことに加えて、2要素認証のための電話番号をターゲット広告に利用した事実も認めた。
[原文へ]
(翻訳:Nob Takahashi / facebook )
