Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した? 41
ストーリー by headless
確認 部門より
確認 部門より
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった
(BleepingComputer の記事、
The Verge の記事、
Ghacks の記事、
Have I Been Pwned の流出サイト情報、
Troy Hunt 氏のツイート)。
このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
で、 (スコア:3, すばらしい洞察)
流出してなくてもHave I Been Pwnedに電話番号とメールアドレスを収集されるオチですかね
Re:で、 (スコア:2, 参考になる)
こちらでどうぞ
Firefox Monitor
https://monitor.firefox.com/ [firefox.com]
Re:で、 (スコア:1)
適当なアドレスで試してみましたが、結果の下のほうに「侵害データの提供 Have I Been Pwned」と表示されているのですが、データを自前のサーバに保存した上での自サーバ内のスキャン結果を提供しているのか、それとも毎回情報源に問い合わせてしているのかな?。
#私の本当のアドレスは怖くて確認できない(;^_^A
Re:で、 (スコア:4, 参考になる)
2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been PwnedのAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ
https://it.srad.jp/story/18/09/28/0447253/ [it.srad.jp]
Re: (スコア:0)
情報ありがとうございます。
#そういえば、昔みたような。
ハッシュなら安心できそうですね。
#しかし、少し疑心暗鬼になっていますので、しばらく現実逃避します(゚∀゚)
Re:で、 (スコア:1)
>Firefox Monitor
2013年に Adobe で流出したメアドで試したらちゃんとリストアップされた。
Twitter にも登録していたのだが、今回の分がしっかり引っ掛かった。
ついでに、2016年に MySpace からも流出していた事が判明した。
ちなみに、Have I Been Pwned ではメアド以外がどうか言及しないが、
こちらは『何時(リストに追加された日)』『何が』流出したかもリストアップしてくれる。
Firefox Monitor によると、今回の件が追加されたのは1月5日でメアドのみ流出となっている。
(Adobe・MySpace の件ではメアドとパスワードが流出)
# 1件だけ心配した結果、沢山引っ掛かってショックを受けないように
Re: (スコア:0)
他人のメアドと電番入れますよね
流出用 (スコア:2)
流出前提であちこちに使ってるアドレスだから、今更確認してもね。
あまりに数が多すぎて、属性ついてないデータは売れなさそう。
Re: (スコア:0)
あちこち使ってるなら、余計に属性が特定されてるのでは?
Re:流出用 (スコア:1)
"Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売"
https://gigazine.net/news/20230106-twitter-users-email-leaked-online/ [gigazine.net]
> Twitter IDとメールアドレスや電話番号、そしてIDから得られる公開情報を紐付けたデータセット
Twitter ID(アカウント作成時に自動で割り振られる識別番号)とメールアドレス又は電話番号が紐付けされた情報が売られているってね。
# とりあえず自分のメールアドレスは含まれてなかった
情報流出を確認できるサイト (スコア:1)
それ自体の安全性が疑問なのでメールアドレス入れたくないですね
まあそもそもTwitterはPWリセットする時にメールアドレスの一部がチラ見えする仕様で、それが嫌で専用のアドレスを用意して登録したので仮に漏れてても被害は極小
Re: (スコア:0)
わざわざこのサイトで入力しなくても、firefox使ってたら自動的に利用されてるのでは?
残念なニュース (スコア:0)
info@osdn.jp は流出済みだった
Re:残念なニュース (スコア:1)
admin@example.comはなんか凄いぐらい漏洩してた。
ここに電子メールアドレスを入力すると (スコア:0)
はい今流出しましたってトラップですか? Twitterのidで引きたいんだけど
Twitterから漏れてる (スコア:0)
怖いながら使ってしまったよ
メールアドレス 12個中2個漏らしてて、その2個が見事にTwitterで登録してたものだった…なるほどね…
Re: (スコア:0)
その12個のメールアドレスは同一人物だ,ってことをわざわざ Have I Been Pwned に申告したわけですね
Re: (スコア:0)
#4391198みたいに自分じゃなくて投げられるからなぁ……
Re: (スコア:0)
同じIPアドレスから連続で調べられたメールアドレスは同一人物の可能性が高いでしょ。こういう目的であれば厳密な同一性の証明は必要ない
Re: (スコア:0)
IPアドレスなんて簡単に変えられるからなぁ
Re: (スコア:0)
> IPアドレスなんて簡単に変えられるからなぁ
IPアドレス以外にもトラッキングする方法はたくさんあるよ
Re: (スコア:0)
具体的には?
画面サイズを使ってとか、パソコンの性能を使ってとかフィンガープリントに使える情報はたくさんあるけど、対策は容易だよ?
Re: (スコア:0)
「対策が容易であること」と「実際に対策されていること」はまったく別。
セキュリティ素人はよく勘違いしてるけど。
Re: (スコア:0)
容易な対策をみんながしてくれてるなら、世の中のセキュリティ問題の9割くらいはなくなってると思うの。
Re: (スコア:0)
「「対策が容易であること」と「実際に対策されていること」はまったく別」は
個人が対策をしていないとする理由にはならないね。
ここが一般人が集うサイトなら、対策方法を検討する場なら、そういう考えは必要だけど、
逸般人が集うサイトで具体的な対策を聞いてないのに「対策をとってないに決まってる。情報が漏れた」なんて指摘するのは素人丸出しですね。
Re: (スコア:0)
これがスマホを始めとしたCGNATだと簡単には変わらないんだわ。
今やIPアドレスは一意に特定する識別子としては無力だけど、他の要素と組み合わせて「同一人物っぽい行動の追跡」だと強力。
あと、CGNATでシェアされる人数はおそらくそんなに多くない。
たとえばスラドは同一IPからの連投規制してるけど、身に覚えがない連投で引っ掛かることがないので「サイト内でのユーザ特定」なら一意に近い。
そもそも (スコア:0)
Twitterにメールアドレスとか登録したてっけ
いまプロフィール画面を確認しても、メールアドレスを入れる欄がない
Re:そもそも (スコア:1)
設定のアカウント情報だよ。
ログインは、電話番号、メールアドレス、ユーザー名のどれかで可能。
広瀬香美が (スコア:0)
ヒウィッヒヒーの歌を作ったときにTwitter登録したNiftyのメールアドレスで無事検出されました。
懐かしい。
オチ無し (スコア:0)
漏れてなかったよ・・・・
うれしいので寿司食べに行くよ!!!!!!
このアカウントは海外渡航用に保持するべきか・・・・
(というか二段階認証使ってなければ電話番号をtwitterに教えてなくて済むのか悩ましいな
Re: (スコア:0)
今まで漏れてなかったのかもしれないけど、あなたが自分の手で漏らしたんですよ
Re: (スコア:0)
おれも漏れてねぇ。といってもTwitter以外で漏れてんだけどw
ていうか2億件も漏れてるのにハブられてるってどういうことだよ!(被害妄想)
絶対チェックしてはいけない (スコア:0)
どうせ、もうどうしようもないし、チェックするとそれがまた盗まれるんだぞ。トラップに決まってる。
やっぱり漏れてた (スコア:0)
知らんやつからTwitterを示唆するメールが来たので調べてみたら案の定…。
連絡用メールアドレスが漏れるのは構わんのだけど、それをスクリーンネームと紐付けて勝手に連絡手段に使われるのは勘弁してほしい。
今さらアドレス登録を変えても遅いよなあ。
Have I Been Pwned (スコア:0)
Have I Been Pwnedって、もう世界的に知られたサービスで
Firefoxや1passwordも利用してるほどのものなので、信頼性という面では、そこまで心配しなくていいと思うけどね。
自分は独自ドメイン運用なので、メアド登録ではなくドメイン登録で、
そのドメインのメールアドレスがあればすべて通知してくれる。
Re: (スコア:0)
世界的に知られていることと信頼できることは別なんだよなぁ
個人での運営が限界になって売却すると言い始めたこともある。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/03720/ [nikkei.com]
2億しかいない (スコア:0)
https://www.asahi.com/articles/ASR18544HR18UHBI001.html [asahi.com]
twitterのユーザー数が2億数千万しかいないことにびっくり。
ちなみに携帯電話のユーザー数は「2013年末時点で、全世界で34億人」らしい。
まあ電話しかできない端末も含むとは思うが。
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc123110.html [soumu.go.jp]
Re: (スコア:0)
日本だと大人気ですけど世界的には「Facebook」「WhatsApp」「YouTube」「WeChat」「Instagram」あたりが人気で桁が違うみたいですね
Re: (スコア:0)
なるほど。
https://www.ownly.jp/sslab/sns-user-detail [ownly.jp]
しかし他はわかるとしてYouTubeってSNSだったの?
Re: (スコア:0)
twitterのユーザー数が2億数千万しかいないことにびっくり。
楽天アカウントの倍もあるじゃないですか。
こういうこともあろうかと (スコア:0)
あらかじめ漏れても問題なさそうなフリーアドレスを登録するくらいはここの諸賢ならやっておられるだろう。
自分もその口でメアド自体は漏れても全く問題ないものを使ってたのだが、全くランダムではない人名っぽいものを作って使っていた。
ところが、今回の流出の報を受けてググってみたら同名の実在の人物がいるっぽい。稀な名前なので特定されるも同然。
迷惑メールや脅迫メールはその実在の人物に行くことはないと思うが、実社会で攻撃されるとかはありえそう。
いまさらメアド変えたらよけいに怪しまれるだろうし。
今度何かのサービスにメアド登録する際は人名ぽくないランダムな文字列にしようと思った。