Twitterの脆弱(ぜいじゃく)性を突いて盗み出したとされる4億人分のユーザーデータを、Ryushiと名乗るハッカーが売り出そうとしていることが分かりました。RyushiはTwitterやイーロン・マスクCEOを相手取ってデータの購入を迫り、「EUの一般データ保護規則(GDPR)による多額の罰金を食らう前に即刻購入せよ」と要求しています。
Hacker claims to be selling Twitter data of 400 million users
https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/
ハッカーフォーラムに投稿されたRyushiの声明によると、Ryushiはメールアドレスや名前、電話番号などの非公開情報を含む4億人分のユーザーデータをTwitterから盗み出したとのこと。RyushiはTwitterとTwitterのイーロン・マスクCEOを名指しして20万ドル(約2600万円)でのデータの購入を迫り、購入すればデータを削除すると主張しています。Twitterがこれに応じない場合、1回あたり6万ドル(約800万円)で複数の人にコピーを販売するとのこと。
Ryushiは以前Facebookから5億3300万人分のデータが流出した事件を引き合いに出し、「(FacebookがGDPR違反の罰金として支払った)2億7600万ドル(約380億円)を回避する最もよい方法は、このデータを独占的に購入することだ」と脅迫しました。また、Ryushiはサンプルデータとしてアレクサンドリア・オカシオ=コルテス下院議員やドナルド・トランプ・ジュニア氏らを含むとされる1000人分のデータを公開しています。
Data for 400 million Twitter users are for sale. Contains emails and phone numbers allegedly obtained via an API vulnerability.
The sample posted shows high profile accounts including @VitalikButerin @mcuban and @briankrebs.
Stay say, friends. Watch for targeted attacks! pic.twitter.com/oaDQp9Ky8W
— Nick Percoco (@c7five) December 24, 2022
調査会社Hudson Rockのアロン・ギャルCTOは「データが本物である可能性がますます高まっています。このデータはおそらくハッカーが電子メールと電話番号を照会してTwitterプロファイルを取得できるAPIの脆弱性を突いて取得したものであり、Facebookから5億3300万人分のユーザーデータが流出した事件と極めて類似したものです」と指摘しました。
Ryushiから詳しい情報を聞き出したBleepingComputerによると、Ryushiは以前Twitterで540万人分のユーザーデータ流出を引き起こしたAPIの脆弱性を使用して情報を取得したとのこと。これはTwitterが2022年1月に修正したものですが、Ryushiは修正前に同じ方法を試していたようです。
なお、Facebookの調査も担当したアイルランドのデータ保護委員会(DPC)が2022年12月23日からデータ流出の経緯について調査を始めています。
ニュースサイトのMakeUseOfはデータ流出に伴う自衛策として、以下のものをあげています。
・ほかのサービスでTwitterに登録したメールアドレスを使用している場合はすぐに変更すること
・電話番号も同様に変更すること
・今後登録するすべてのサービスでメールアドレスのエイリアスを使用すること
・可能な場合は予備の電話番号を使用すること
・アプリベースの二要素認証を使用すること
情報元
https://gigazine.net/news/20230105-ryushi-selling-twitter-400-million-users-data/
