Ibrahim Balic
連絡先
電話番号

Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントが照合可能に

次の記事

IoT猫トイレのハチたまがマネックスなどから2億円調達、健康状態の自動判定機能を実装、そして世界へ

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。

Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。

実はTwitterの連絡先アップロード機能には、連続した番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後にランダムに並び替え、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。

バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーは、イスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。

電話番号にマッチしたアカウントの一部をサンプルとして、バリック氏はTechCrunchに示してくれた。我々はランダムにユーザー名を生成し、パスワードのリセット機能を利用して電話番号とマッチングさせてその情報が正しいことを確認した。イスラエルの有力政治家のユーザーアカウントがマッチしたこともあった。

またバリック氏は、この脆弱性をTwitterに伝えなかったが、政治家や官僚を含む有力なTwitterユーザーに対してはWhatsAppのグループに投稿して直接問題を伝えたという。

バリック氏の調査は、今週に投稿されたTwitterのブログ記事とは直接の関係はないもののようだ。Twitterは「非公開の情報を入手し、あるいはアカウントを乗っ取ることが可能になる脆弱性を修正した」という。Twitterの広報担当者はTechCrunchに対し「今後、このようなバグが悪用されないよう修正作業を進めている」と確認した。

【略】

今年、Twitterでは重大なセキュリティー問題が何回か発見されている。5月にはTwitterはロケーション情報記録機能からオプトアウトしているユーザーのロケーション情報を提携企業に渡していたことが発覚した。8月には広告主企業に必要以上の情報を引き渡していた。さらに先月、Twitterはユーザーが2段階認証のために登録した電話番号を広告ターゲティングに使っていたことを認めている。

バリック氏は2013年にAppleのデベロッパーセンターがハッカーに侵入されていたことを発見したことで知られている。

画像: Josh Edelson / Getty Images

原文へ

(翻訳:滑川海彦@Facebook