Twitterのバグで電話番号1700万件とユーザーアカウントを照合される。なかには政治家や著名人も

セキュリティ研究者イブラヒム・バリク氏が、TwitterのAndroidアプリにユーザー1700万人分のアカウントとそれに紐付けられた電話番号を調べられる欠陥があると報告しました。通常、Twitterの連絡先登録機能は数値が連続する電話番号リストの入力を受け付けないものの、Balic氏は20億件を超える番号をランダムに生成してAndroidアプリから流し込むことに成功しました。その結果、生成した電話番号に一致するユーザーがフランス、ギリシャ、トルコなどの国々から見つかり、一部は政治家や公的機関の職員も含まれていることがわかったとのこと。TechCrunchはユーザーありとわかった電話番号からイスラエルの政治家を実際に特定できたと報じています。

Balic氏はTwitterにこの問題を報告せず、直接電話番号がヒットしたいくつかの著名ユーザーに対しWhatsAppを通じて警告したとのこと。一方Twitterは12月20日に連絡先登録機能の問題を修正しています。

Twiiterのセキュリティに関しては今年、位置情報を誤って共有してしまった事例や、電話番号がターゲティング広告に利用されていた可能性があることを認めた事例がありました。

TwitterはBalic氏が使った脆弱性に関する報告を「真剣に受け止め、このバグが再び悪用されないよう積極的に調査している」と述べ、「このバグを認識したときに個人情報への不適切なアクセスに使われるアカウントを停止しました」としました。

ちなみに、Balic氏が使用したバグはウェブ版のTwitterには存在せず、Androidアプリでのみ悪用できたとのこと。