Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 34
ストーリー by nagazou
流出 部門より
流出 部門より
headless 曰く、
Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事、 The Verge の記事、 BetaNews の記事、 HackRead の記事)。
この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。
Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。
APIを利用するには電番登録必須 (スコア:0)
うちでは安全に管理できないので一般に知られたものは使用しないでくださいってことかw
そんな危機管理意識ならそもそも元々電話番号求めてくるんじゃねーよ
Re: (スコア:0)
あと、電話番号なしでログイン出来なくなったりとかね。
Re: (スコア:0)
無料でプラットフォームを利用するのなら、利用する側が利用される側に対してそれなりの物を指し出すのは当たり前だと思うんです。
何でもタダで享受できるという考え自体が間違っていると思うんです。
それが嫌なら利用される側に対して最初からお金を払うべきだと思うんです。
Re: (スコア:0)
Twitterはお金を払えば電話番号聞かれずに済むんですか?
Re: (スコア:0)
運営側も文句を言われるのは大歓迎だと思うよ
改善できるわけだからね
ついでに言うなら、それなりの物を既に差し出しているので文句を言ってもいいんじゃないかな
Re: (スコア:0)
タダじゃないでしょ?
広告入ってる。
Re: (スコア:0)
まぁた自分を何様か勘違いしてるバカがたわごとを。
Re: (スコア:0)
4305783は、小ばかにするのはどうかと思うが、少なくとも他の意見を引き出せるようちゃんと自分の意見を書いている。
4305798は、小ばかにしてるくせに、自分の意見がない。
Re: (スコア:0)
まぁた自分を何様か勘違いしてるバカがたわごとを
Re: (スコア:0)
返信早すぎ
なんでそんなに必死なの?
Re: (スコア:0)
無料なのに何かあったら責任取れとか言われたら、OSS関連の人達は発狂しそう
Re: (スコア:0)
個人情報の管理について「管理を怠ったら批判されて当然」というのは本質的には違います。
本質は相手とどんな「契約」をしたかでしょ?
だって、アカウント作成時には利用契約やらプライバシーポリシーやらに同意してるはずなんですよ。同意しなきゃアカウントは作成できないんで。
で、そこに「個人情報漏れても文句は言えません」と読めるような内容が書いてあったら、たとえ個人情報が漏れてしまったとしてもユーザーは黙るしかありません。それこそ全財産で値段が高い壺を買ってしまったとしてもそれが両者同意の下の契約の結果ならば簡単には反故にできないの
Re: (スコア:0)
それを言い出したら二段階認証使ってるとこの大半を否定することになるような。
Twitterよりまともに管理できてるとこがどれだけあるんだか。
これはアカウント情報の管理のしかたというより、認証前に電話番号/メールアドレスからアカウントIDがわかってしまうというログインプロセスの仕様の問題だし。
Re: (スコア:0)
電話番号使わずにTOTPじゃあかんの?
Re: (スコア:0)
ログインプロセスの仕様
なんとなく変な言い方w
Re: (スコア:0)
2段階認証の話なんてしてなくて、電話番号を求めるな、としか言ってないでしょ
勝手に話を広げてはいかん
仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう (スコア:0)
いや、アカウント登録の段階で電話番号強制的に聞かれてスキップできないぞ
Re: (スコア:0)
普段使ってるのと別のメアドと番号用意しろってだけの話では。
Re: (スコア:0)
SMS認証のためにダミーの番号を購入して維持しておくのが敷居が高い
Re: (スコア:0)
アメリカのSMS電話番号が無料で利用できるというサービスがあったので、Twitterの複垢でも作ろうとウキウキでそのサービスに登録してTwitterのアカウントを登録してみたんだよ。
ところがTwitterからの認証SMSがいつまでたっても受信できないんでなんでだろうと思ってたら、どうやらTwitterなどの有名サービスにおけるSMS認証についてだけは有料サービスプランに入らないと受信できない仕組みになってるらしく、ガッカリした思い出。
Re: (スコア:0)
それで登録が通るならいいけど、アカウント作り終わったら別の番号に置き換える必要なくないか
捨て垢ならほっとけばいいけどさ
Re: (スコア:0)
置き換える? そもそもSMS認証しないと登録が通らない(あるいはすぐに凍結されて何もできない)って話でしょ
Re: (スコア:0)
SMSで送られるコードを(それこそどこでも常に)受信できるデバイスが必要なのだけど、この番号がそう簡単に変えられないことを利用して認証に利用しているのでしょ。これに替わる方法は何かないものですかねえ。
Twitterのアカウントはそれほど重要ではないからいいけど、クレジットカード、銀行、YouTubeなどGoogle関連、あらゆるところに同じ唯一の番号、この番号はこのために維持している状態で通話も可能だけど利用していない。を(必須なのでしかたなく)指定している私のような人もいる。登録されている番号を変更するにしてもまず以前の番号でSMS認証してからなので故障や電池切れが起きないように維持している。
SMSなんて受信の確実性、信頼性低いよね。まあその先の通信も(不安定な)モバイル通信を使う前提なのだろうけど。
PayPay銀行(旧ジャパンネット銀行)を例にすると、自宅の確実な回線で本人認証する場合に、古くはカードに印刷されたコード表から指定された部分を読む、トークンというカード形デバイスでそれに表示される番号を入力、SMS認証のみと変わってきている。
Re: (スコア:0)
二要素認証の事を言ってるの?
であれば、Titanセキュリティキーのような物理キーを使えばいいでしょ。
Re: (スコア:0)
(#4305859)は二要素認証の話とすり替えちゃってるけど、元々の話としてはTwitterのSMS認証って捨て垢・スパムアカウントを大量作成されないようにするためのものだから、物理キーだと解決しないんだよね
Re: (スコア:0)
(#4305859)は二要素認証の話とすり替えちゃってるけど、元々の話としてはTwitterのSMS認証って捨て垢・スパムアカウントを大量作成されないようにするためのものだから、物理キーだと解決しないんだよね
アカウント作るのに未登録の物理キー必須でも解決するんじゃね?
捨て垢・スパムを作るコストが跳ね上がるわけだから。
Re: (スコア:0)
確かにTor経由でアカウント登録しようとすると電話番号聞かれますね。。。
Re: (スコア:0)
匿名性を維持するためのTorなのに電話番号を聞くって一体どういう了見なのか…
# ウクライナの件で.onionバージョンもあるけど繋がらない;;
Re: (スコア:0)
聞かれるときと聞かれない時があるわ
まあ聞かれないときに作ったアカウントはしばらくしたらSMS要求されて半凍結状態になったけど
Re: (スコア:0)
ここ何年かは回線によらず電話番号必須だと思ってた
そんな気はしていた (スコア:0)
しょっちゅう「アカウントと電話番号を紐づけましょう!」みたいなのが出てくるからね。
俺はその都度何もせず×ボタン押してたけど、これだけしつこく迫ってくるって事はよっぽどうま味のある事なんだろうなと。
Re: (スコア:0)
凍結して電話番号を登録するまで解除しないなんてのまであるらしい
名簿ビジネス (スコア:0)
一般的な英単語でアカウントを作っているのだが
非公開のメールアドレスに$2,500で売ってくれってオファーが数日前にきた
アカウントを名指しされてしかも日本語で😂
知らないところでメールアドレスの名簿からアカウントの割り出しされたんだろう
Twitterからは何の連絡もない