Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。

Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。

実はTwitterの連絡先アップロード機能には、シーケンシャルな(連続した)番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後ランダム化して、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。

バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。

電話番号にマッチしたアカウントの一部をサンプルとして、バリック氏はTechCrunchに示してくれた。我々はランダムにユーザー名を生成し、パスワードのリセット機能を利用して電話番号とマッチングさせてその情報が正しいことを確認した。イスラエルの有力政治家のユーザーアカウントがマッチしたこともあった。

またバリック氏は、この脆弱性をTwitterに伝えなかったが、政治家や官僚を含む有力なTwitterユーザーに対してはWhatsAppのグループに投稿して直接問題を伝えたという。

バリック氏の調査は、今週に投稿されたTwitterのブログ記事とは直接の関係はないもののようだ。Twitterは「非公開の情報を入手し、あるいはアカウントを乗っ取ることが可能になる脆弱性を修正した」という。

Twitterの広報担当者はTechCrunchに対し「今後、このようなバグが悪用されないよう修正作業を進めている」と確認した。【略】

今年、Twitterでは重大なセキュリティー問題が何回か発見されている。5月にはTwitterはロケーション情報記録機能からオプトアウトしているユーザーのロケーション情報を提携企業に渡していたことが発覚した。8月には広告主企業に必要以上の情報を引き渡していた。さらに先月、Twitterはユーザーが2段階認証のために登録した電話番号を広告ターゲティングに使っていたことを認めている。

バリック氏は2013年にAppleのデベロッパーセンターがハッカーに侵入されていたことを発見したことで知られている。

画像: Josh Edelson / Getty Images

原文へ

滑川海彦@Facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。