個人の電子メールや関連する電話番号を含むTwitterユーザー4億人のデータが闇市場で売りに出されていると報じられている。
サイバー犯罪情報会社ハドソン・ロックは12月24日、ツイッター経由で「信頼できる脅威」があると強調した。ツイッターのユーザーアカウント4億件の連絡先情報が入った非公開データベースが何者かによって販売されているとみられる。
「このプライベートデータベースには、AOC、ケビン・オリアリー、ヴィタリック・ブテリンなど著名人の電子メールや電話番号など、膨大な量の情報が含まれている」とハドソン・ロック氏は述べ、次のように付け加えた。
「投稿の中で、脅威アクターは、Twitterの脆弱性により2022年初頭にデータが取得されたと主張し、イーロン・マスク氏にデータを買わせなければGDPR訴訟に直面すると脅迫しようとしている。」
ハドソン・ロック社は、アカウントの数を考えるとハッカーの主張を完全に検証することはできなかったが、「データ自体の独立した検証は正当であると思われる」と述べた。
速報:ハドソン・ロックは、信頼できる脅威アクターが4億人のTwitterユーザーのデータを販売していることを発見しました。この非公開データベースには、AOC、ケビン・オリアリー、ヴィタリック・ブテリンなどの著名ユーザーのメールアドレスや電話番号など、膨大な量の情報が含まれています(1/2)。pic.twitter.com/wQU5LLQeE1
— ハドソン・ロック(@RockHudsonRock)2022年12月24日
Web3セキュリティ会社DeFiYieldもハッカーがサンプルとして提供した1,000のアカウントを調べ、データが「本物」であることを確認した。また、Telegram経由でハッカーに連絡を取り、ハッカーがそこで積極的に買い手を待っていることを伝えた。
もし事実と判明すれば、この情報漏洩は仮想通貨関連のツイッターユーザー、特に匿名で活動しているユーザーにとって大きな懸念材料となる可能性がある。
しかし、現在の月間アクティブユーザー数が約4億5000万人と報告されていることを考えると、このような大規模な侵害は信じがたいと指摘するユーザーもいる。
本稿執筆時点では、ハッカーとされる人物は依然として Breached にデータベースの購入者への宣伝記事を投稿している。また、イーロン・マスク氏に対し、データの販売と一般データ保護規則機関からの罰金を回避するために 2 億 7,600 万ドルを支払うよう具体的に呼びかけている。
マスク氏が料金を支払えば、ハッカーはデータを削除し、他の誰にも販売しないとし、「多くの著名人や政治家がフィッシング、仮想通貨詐欺、SIMスワッピング、個人情報漏洩などの被害に遭うのを防ぐ」としている。
ハッカーのデータベース広告: 侵害
問題の侵害されたデータは、Twitterの「ゼロデイハック」によるものとみられており、2021年6月のアプリケーションプログラミングインターフェースの脆弱性が今年1月に修正される前に悪用された。このバグにより、ハッカーは基本的に個人情報を収集し、それをデータベースにまとめ、ダークウェブで販売することが可能となった。
Bleeping Computer の 11 月 27 日のレポートによると、このデータベースとされるもののほかに、これまでに 2 つのデータベースが特定されており、1 つは約 550 万人のユーザーで構成され、もう 1 つは 1,700 万人ものユーザーが含まれていると考えられている。
こうした情報がオンラインで漏洩すると、テキストや電子メールによる標的型フィッシング攻撃、アカウントを入手するための SIM スワップ攻撃、個人情報の暴露などの危険が生じます。
これには深刻な懸念があります#1- 多くの偽アカウントの身元が公開され、リスクが生じます#2- 電話番号があれば、誰の住所や銀行情報も簡単に見つけることができます#3- 携帯電話、物理的、または電子メールによるフィッシングの試みが複数回行われます。
— ハシーブ・アワン - efani.com (@haseeb) 2022 年 12 月 25 日
人々は、電話番号ではなくアプリを介してさまざまなアカウントの2要素認証設定がオンになっていることを確認し、パスワードを変更して安全に保管し、プライベートで自己ホスト型の暗号通貨ウォレットを使用するなどの予防策を講じるようアドバイスされています。