パスワードを忘れた? アカウント作成
16427776 story
情報漏洩

Twitter のユーザーデータ 2 億件以上が流出、自分が含まれているかどうか確認した? 41

ストーリー by headless
確認 部門より
Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事The Verge の記事Ghacks の記事Have I Been Pwned の流出サイト情報Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。
  • で、 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2023年01月08日 19時41分 (#4391193)

    流出してなくてもHave I Been Pwnedに電話番号とメールアドレスを収集されるオチですかね

    ここに返信
    • Re:で、 (スコア:2, 参考になる)

      by Anonymous Coward on 2023年01月08日 20時59分 (#4391209)

      こちらでどうぞ

      Firefox Monitor
      https://monitor.firefox.com/ [firefox.com]

      • by Anonymous Coward on 2023年01月09日 0時10分 (#4391242)

        適当なアドレスで試してみましたが、結果の下のほうに「侵害データの提供 Have I Been Pwned」と表示されているのですが、データを自前のサーバに保存した上での自サーバ内のスキャン結果を提供しているのか、それとも毎回情報源に問い合わせてしているのかな?。

        #私の本当のアドレスは怖くて確認できない(;^_^A

        • Re:で、 (スコア:4, 参考になる)

          by Anonymous Coward on 2023年01月09日 0時32分 (#4391247)

          2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been PwnedのAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ
          https://it.srad.jp/story/18/09/28/0447253/ [it.srad.jp]

          • by Anonymous Coward

            情報ありがとうございます。

            #そういえば、昔みたような。

            ハッシュなら安心できそうですね。

            #しかし、少し疑心暗鬼になっていますので、しばらく現実逃避します(゚∀゚)

      • by Anonymous Coward on 2023年01月09日 7時25分 (#4391280)

        >Firefox Monitor

        2013年に Adobe で流出したメアドで試したらちゃんとリストアップされた。
        Twitter にも登録していたのだが、今回の分がしっかり引っ掛かった。
        ついでに、2016年に MySpace からも流出していた事が判明した。

        ちなみに、Have I Been Pwned ではメアド以外がどうか言及しないが、
        こちらは『何時(リストに追加された日)』『何が』流出したかもリストアップしてくれる。
        Firefox Monitor によると、今回の件が追加されたのは1月5日でメアドのみ流出となっている。
        (Adobe・MySpace の件ではメアドとパスワードが流出)

        # 1件だけ心配した結果、沢山引っ掛かってショックを受けないように

    • by Anonymous Coward

      他人のメアドと電番入れますよね

  • by oni-giri.rice (49266) on 2023年01月08日 21時29分 (#4391213) 日記

    流出前提であちこちに使ってるアドレスだから、今更確認してもね。
    あまりに数が多すぎて、属性ついてないデータは売れなさそう。

    ここに返信
    • by Anonymous Coward

      あちこち使ってるなら、余計に属性が特定されてるのでは?

      • by Anonymous Coward on 2023年01月09日 1時23分 (#4391258)

        "Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売"
        https://gigazine.net/news/20230106-twitter-users-email-leaked-online/ [gigazine.net]
        > Twitter IDとメールアドレスや電話番号、そしてIDから得られる公開情報を紐付けたデータセット

        Twitter ID(アカウント作成時に自動で割り振られる識別番号)とメールアドレス又は電話番号が紐付けされた情報が売られているってね。

        # とりあえず自分のメールアドレスは含まれてなかった

  • by Anonymous Coward on 2023年01月08日 19時55分 (#4391196)

    それ自体の安全性が疑問なのでメールアドレス入れたくないですね

    まあそもそもTwitterはPWリセットする時にメールアドレスの一部がチラ見えする仕様で、それが嫌で専用のアドレスを用意して登録したので仮に漏れてても被害は極小

    ここに返信
    • by Anonymous Coward

      わざわざこのサイトで入力しなくても、firefox使ってたら自動的に利用されてるのでは?

  • by Anonymous Coward on 2023年01月08日 20時19分 (#4391198)

    info@osdn.jp は流出済みだった

    ここに返信
  • by Anonymous Coward on 2023年01月08日 20時19分 (#4391200)

    はい今流出しましたってトラップですか? Twitterのidで引きたいんだけど

    ここに返信
  • by Anonymous Coward on 2023年01月08日 20時21分 (#4391201)

    怖いながら使ってしまったよ
    メールアドレス 12個中2個漏らしてて、その2個が見事にTwitterで登録してたものだった…なるほどね…

    ここに返信
    • by Anonymous Coward

      その12個のメールアドレスは同一人物だ,ってことをわざわざ Have I Been Pwned に申告したわけですね

      • by Anonymous Coward

        #4391198みたいに自分じゃなくて投げられるからなぁ……

        • by Anonymous Coward

          同じIPアドレスから連続で調べられたメールアドレスは同一人物の可能性が高いでしょ。こういう目的であれば厳密な同一性の証明は必要ない

          • by Anonymous Coward

            IPアドレスなんて簡単に変えられるからなぁ

            • by Anonymous Coward

              > IPアドレスなんて簡単に変えられるからなぁ

              IPアドレス以外にもトラッキングする方法はたくさんあるよ

              • by Anonymous Coward

                具体的には?
                画面サイズを使ってとか、パソコンの性能を使ってとかフィンガープリントに使える情報はたくさんあるけど、対策は容易だよ?

              • by Anonymous Coward

                「対策が容易であること」と「実際に対策されていること」はまったく別。
                セキュリティ素人はよく勘違いしてるけど。

              • by Anonymous Coward

                容易な対策をみんながしてくれてるなら、世の中のセキュリティ問題の9割くらいはなくなってると思うの。

              • by Anonymous Coward

                「「対策が容易であること」と「実際に対策されていること」はまったく別」は
                個人が対策をしていないとする理由にはならないね。

                ここが一般人が集うサイトなら、対策方法を検討する場なら、そういう考えは必要だけど、
                逸般人が集うサイトで具体的な対策を聞いてないのに「対策をとってないに決まってる。情報が漏れた」なんて指摘するのは素人丸出しですね。

            • by Anonymous Coward

              これがスマホを始めとしたCGNATだと簡単には変わらないんだわ。
              今やIPアドレスは一意に特定する識別子としては無力だけど、他の要素と組み合わせて「同一人物っぽい行動の追跡」だと強力。

              あと、CGNATでシェアされる人数はおそらくそんなに多くない。
              たとえばスラドは同一IPからの連投規制してるけど、身に覚えがない連投で引っ掛かることがないので「サイト内でのユーザ特定」なら一意に近い。

  • by Anonymous Coward on 2023年01月09日 0時11分 (#4391243)

    Twitterにメールアドレスとか登録したてっけ
    いまプロフィール画面を確認しても、メールアドレスを入れる欄がない

    ここに返信
  • by Anonymous Coward on 2023年01月09日 10時27分 (#4391296)

    ヒウィッヒヒーの歌を作ったときにTwitter登録したNiftyのメールアドレスで無事検出されました。
    懐かしい。

    ここに返信
  • by Anonymous Coward on 2023年01月09日 13時53分 (#4391344)

    漏れてなかったよ・・・・
    うれしいので寿司食べに行くよ!!!!!!

    このアカウントは海外渡航用に保持するべきか・・・・
    (というか二段階認証使ってなければ電話番号をtwitterに教えてなくて済むのか悩ましいな

    ここに返信
    • by Anonymous Coward

      今まで漏れてなかったのかもしれないけど、あなたが自分の手で漏らしたんですよ

    • by Anonymous Coward

      おれも漏れてねぇ。といってもTwitter以外で漏れてんだけどw
      ていうか2億件も漏れてるのにハブられてるってどういうことだよ!(被害妄想)

  • by Anonymous Coward on 2023年01月09日 23時32分 (#4391521)

    どうせ、もうどうしようもないし、チェックするとそれがまた盗まれるんだぞ。トラップに決まってる。

    ここに返信
  • by Anonymous Coward on 2023年01月10日 0時24分 (#4391533)

    知らんやつからTwitterを示唆するメールが来たので調べてみたら案の定…。
    連絡用メールアドレスが漏れるのは構わんのだけど、それをスクリーンネームと紐付けて勝手に連絡手段に使われるのは勘弁してほしい。
    今さらアドレス登録を変えても遅いよなあ。

    ここに返信
  • by Anonymous Coward on 2023年01月10日 10時28分 (#4391619)

    Have I Been Pwnedって、もう世界的に知られたサービスで
    Firefoxや1passwordも利用してるほどのものなので、信頼性という面では、そこまで心配しなくていいと思うけどね。
    自分は独自ドメイン運用なので、メアド登録ではなくドメイン登録で、
    そのドメインのメールアドレスがあればすべて通知してくれる。

    ここに返信
  • by Anonymous Coward on 2023年01月10日 10時43分 (#4391625)

    https://www.asahi.com/articles/ASR18544HR18UHBI001.html [asahi.com]
    twitterのユーザー数が2億数千万しかいないことにびっくり。
    ちなみに携帯電話のユーザー数は「2013年末時点で、全世界で34億人」らしい。
    まあ電話しかできない端末も含むとは思うが。
    https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc123110.html [soumu.go.jp]

    ここに返信
    • by Anonymous Coward

      日本だと大人気ですけど世界的には「Facebook」「WhatsApp」「YouTube」「WeChat」「Instagram」あたりが人気で桁が違うみたいですね

    • by Anonymous Coward

      twitterのユーザー数が2億数千万しかいないことにびっくり。

      楽天アカウントの倍もあるじゃないですか。

  • by Anonymous Coward on 2023年01月29日 18時53分 (#4402161)

    あらかじめ漏れても問題なさそうなフリーアドレスを登録するくらいはここの諸賢ならやっておられるだろう。
    自分もその口でメアド自体は漏れても全く問題ないものを使ってたのだが、全くランダムではない人名っぽいものを作って使っていた。
    ところが、今回の流出の報を受けてググってみたら同名の実在の人物がいるっぽい。稀な名前なので特定されるも同然。
    迷惑メールや脅迫メールはその実在の人物に行くことはないと思うが、実社会で攻撃されるとかはありえそう。
    いまさらメアド変えたらよけいに怪しまれるだろうし。
    今度何かのサービスにメアド登録する際は人名ぽくないランダムな文字列にしようと思った。

    ここに返信
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...