「連絡先をアップロードして管理する方法」に
バグがあった?
誰もがSNSを使用している現在では、そのアカウントをねらうサイバー犯罪はめずらしいことではない。もちろん、各サービスはセキュリティに対するさまざまな対策を講じているが、悪意をもった人間だけでなく、セキュリティベンダーや研究家も、常にその隙間を探している。
2019年12月に、TwitterのAndroid版アプリの機能に存在するセキュリティ上のバグを悪用し、ユーザーの個人情報を取得できるようになっていたという報道がなされた(A Twitter app bug was used to match 17 million phone numbers to user accounts | TechCrunch)。
セキュリティ研究者のイブラヒム・バリク氏によれば、(その当時の)TwitterのAndroid版アプリの、「連絡先をアップロードして管理する方法」に欠陥があったとのこと。
この機能は、通常、数字が連続する電話番号リストがアップロードされても、セキュリティ面の観点から、ユーザーの個人情報が取得できないようになっている。
しかし、大量の(バリク氏の調査によれば20億件以上)電話番号を自動生成して、Androidアプリ経由でランダムにアップロードすると、電話番号と紐付けられたアカウントの個人情報を取得できたという。生成した電話番号に一致するユーザーは、フランス、ギリシャ、トルコなどから見つかり、政治家や公的機関の職員も含まれていたとされている。
Twitterに登録した電話番号を不正に入手された場合、なんらかの手段でユーザーの個人情報もあわせて入手していれば、パスワードをリセットして、アカウントに不正にログインすることも理論的には可能だ。
これをうけて、Twitterは、アカウントを乗っ取ることが可能になる脆弱性を修正。また、個人情報への不適切なアクセスに使われるアカウントを停止したとするほか、12月20日には、連絡先登録機能の問題を修正している。
