Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。

Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。

実はTwitterの連絡先アップロード機能には、シーケンシャルな(連続した)番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後ランダム化して、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。

バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。

電話番号にマッチしたアカウントの一部をサンプルとして、バリック氏はTechCrunchに示してくれた。我々はランダムにユーザー名を生成し、パスワードのリセット機能を利用して電話番号とマッチングさせてその情報が正しいことを確認した。イスラエルの有力政治家のユーザーアカウントがマッチしたこともあった。

またバリック氏は、この脆弱性をTwitterに伝えなかったが、政治家や官僚を含む有力なTwitterユーザーに対してはWhatsAppのグループに投稿して直接問題を伝えたという。

バリック氏の調査は、今週に投稿されたTwitterのブログ記事とは直接の関係はないもののようだ。Twitterは「非公開の情報を入手し、あるいはアカウントを乗っ取ることが可能になる脆弱性を修正した」という。

Twitterの広報担当者はTechCrunchに対し「今後、このようなバグが悪用されないよう修正作業を進めている」と確認した。【略】

今年、Twitterでは重大なセキュリティー問題が何回か発見されている。5月にはTwitterはロケーション情報記録機能からオプトアウトしているユーザーのロケーション情報を提携企業に渡していたことが発覚した。8月には広告主企業に必要以上の情報を引き渡していた。さらに先月、Twitterはユーザーが2段階認証のために登録した電話番号を広告ターゲティングに使っていたことを認めている。

バリック氏は2013年にAppleのデベロッパーセンターがハッカーに侵入されていたことを発見したことで知られている。

画像: Josh Edelson / Getty Images

原文へ

滑川海彦@Facebook