パスワードを忘れた? アカウント作成
15756613 story
プライバシ

Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 34

ストーリー by nagazou
流出 部門より
headless 曰く、

Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事The Verge の記事BetaNews の記事HackRead の記事)。

この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。

Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。

  • by Anonymous Coward on 2022年08月12日 13時15分 (#4305747)

    うちでは安全に管理できないので一般に知られたものは使用しないでくださいってことかw
    そんな危機管理意識ならそもそも元々電話番号求めてくるんじゃねーよ

    ここに返信
    • by Anonymous Coward

      あと、電話番号なしでログイン出来なくなったりとかね。

    • by Anonymous Coward

      無料でプラットフォームを利用するのなら、利用する側が利用される側に対してそれなりの物を指し出すのは当たり前だと思うんです。
      何でもタダで享受できるという考え自体が間違っていると思うんです。
      それが嫌なら利用される側に対して最初からお金を払うべきだと思うんです。

      • by Anonymous Coward

        Twitterはお金を払えば電話番号聞かれずに済むんですか?

      • by Anonymous Coward

        運営側も文句を言われるのは大歓迎だと思うよ
        改善できるわけだからね
        ついでに言うなら、それなりの物を既に差し出しているので文句を言ってもいいんじゃないかな

      • by Anonymous Coward

        タダじゃないでしょ?
        広告入ってる。

    • by Anonymous Coward

      それを言い出したら二段階認証使ってるとこの大半を否定することになるような。
      Twitterよりまともに管理できてるとこがどれだけあるんだか。

      これはアカウント情報の管理のしかたというより、認証前に電話番号/メールアドレスからアカウントIDがわかってしまうというログインプロセスの仕様の問題だし。

      • by Anonymous Coward

        電話番号使わずにTOTPじゃあかんの?

      • by Anonymous Coward

        ログインプロセスの仕様

        なんとなく変な言い方w

      • by Anonymous Coward

        2段階認証の話なんてしてなくて、電話番号を求めるな、としか言ってないでしょ
        勝手に話を広げてはいかん

  • いや、アカウント登録の段階で電話番号強制的に聞かれてスキップできないぞ

    ここに返信
    • by Anonymous Coward

      普段使ってるのと別のメアドと番号用意しろってだけの話では。

      • by Anonymous Coward

        SMS認証のためにダミーの番号を購入して維持しておくのが敷居が高い

        • by Anonymous Coward

          アメリカのSMS電話番号が無料で利用できるというサービスがあったので、Twitterの複垢でも作ろうとウキウキでそのサービスに登録してTwitterのアカウントを登録してみたんだよ。
          ところがTwitterからの認証SMSがいつまでたっても受信できないんでなんでだろうと思ってたら、どうやらTwitterなどの有名サービスにおけるSMS認証についてだけは有料サービスプランに入らないと受信できない仕組みになってるらしく、ガッカリした思い出。

          • by Anonymous Coward

            それで登録が通るならいいけど、アカウント作り終わったら別の番号に置き換える必要なくないか
            捨て垢ならほっとけばいいけどさ

            • by Anonymous Coward

              置き換える? そもそもSMS認証しないと登録が通らない(あるいはすぐに凍結されて何もできない)って話でしょ

      • by Anonymous Coward

        SMSで送られるコードを(それこそどこでも常に)受信できるデバイスが必要なのだけど、この番号がそう簡単に変えられないことを利用して認証に利用しているのでしょ。これに替わる方法は何かないものですかねえ。
        Twitterのアカウントはそれほど重要ではないからいいけど、クレジットカード、銀行、YouTubeなどGoogle関連、あらゆるところに同じ唯一の番号、この番号はこのために維持している状態で通話も可能だけど利用していない。を(必須なのでしかたなく)指定している私のような人もいる。登録されている番号を変更するにしてもまず以前の番号でSMS認証してからなので故障や電池切れが起きないように維持している。
        SMSなんて受信の確実性、信頼性低いよね。まあその先の通信も(不安定な)モバイル通信を使う前提なのだろうけど。
        PayPay銀行(旧ジャパンネット銀行)を例にすると、自宅の確実な回線で本人認証する場合に、古くはカードに印刷されたコード表から指定された部分を読む、トークンというカード形デバイスでそれに表示される番号を入力、SMS認証のみと変わってきている。

        • by Anonymous Coward

          二要素認証の事を言ってるの?
          であれば、Titanセキュリティキーのような物理キーを使えばいいでしょ。

          • by Anonymous Coward

            (#4305859)は二要素認証の話とすり替えちゃってるけど、元々の話としてはTwitterのSMS認証って捨て垢・スパムアカウントを大量作成されないようにするためのものだから、物理キーだと解決しないんだよね

            • by Anonymous Coward

              (#4305859)は二要素認証の話とすり替えちゃってるけど、元々の話としてはTwitterのSMS認証って捨て垢・スパムアカウントを大量作成されないようにするためのものだから、物理キーだと解決しないんだよね

              アカウント作るのに未登録の物理キー必須でも解決するんじゃね?
              捨て垢・スパムを作るコストが跳ね上がるわけだから。

    • by Anonymous Coward

      確かにTor経由でアカウント登録しようとすると電話番号聞かれますね。。。

      • by Anonymous Coward

        匿名性を維持するためのTorなのに電話番号を聞くって一体どういう了見なのか…

        # ウクライナの件で.onionバージョンもあるけど繋がらない;;

      • by Anonymous Coward

        聞かれるときと聞かれない時があるわ
        まあ聞かれないときに作ったアカウントはしばらくしたらSMS要求されて半凍結状態になったけど

      • by Anonymous Coward

        ここ何年かは回線によらず電話番号必須だと思ってた

  • by Anonymous Coward on 2022年08月13日 0時39分 (#4306045)

    しょっちゅう「アカウントと電話番号を紐づけましょう!」みたいなのが出てくるからね。
    俺はその都度何もせず×ボタン押してたけど、これだけしつこく迫ってくるって事はよっぽどうま味のある事なんだろうなと。

    ここに返信
    • by Anonymous Coward

      凍結して電話番号を登録するまで解除しないなんてのまであるらしい

  • by Anonymous Coward on 2022年08月13日 12時57分 (#4306199)

    一般的な英単語でアカウントを作っているのだが
    非公開のメールアドレスに$2,500で売ってくれってオファーが数日前にきた
    アカウントを名指しされてしかも日本語で😂

    知らないところでメールアドレスの名簿からアカウントの割り出しされたんだろう
    Twitterからは何の連絡もない

    ここに返信
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...