ラベルリスト

2020年02月16日

偽アカウント大規模ネットワークを停止 --- by Twitter, Inc.



Twitter suspends
‘large network’ of fake accounts
used to match phone numbers to users




twitter.jpg



米国時間2020年2月3日、
Twitter社は「偽アカウントの大規模ネットワーク」および
「さまざまな国に存在する」数多くの偽アカウントを、
この週末に削除したことを発表した。


彼らは電話番号とユーザーアカウントを
マッチングする機能を悪用していた。



TechCrunch.jpg



TechCrunch社
この問題を2019年12月24日に取り上げたが、
その日はTwitterが悪用の存在に気づいた日でもあった。




セキュリティー研究者の
Ibrahim Balic「イブラハム・バリック)氏は、

TwitterのAndroidアプリにバグがあり、
同氏が公式APIを通じて数百万件の電話番号を送ったところ、
関連するユーザーアカウントを取得できたことを報告した。



Ibrahim Balic 1.jpg



この機能の意図していた用途は、
自分の番号を知っている友達に
Twitterアカウントを見つけてもらうためだった。

しかし、
数百万件の番号を送るのは
明らかに想定された利用方法を超えていた。



it twitter.jpg



この機能をオフにしておけば、
このバグの影響を受けることはない。


EU圏のユーザーにとっては
幸いなことに、この機能がオプトインになっている。


しかし、
それ以外の国々ではオプトアウトが必要だ。

つまり、
電話番号をアカウントに結びつけている人は
(オフにしない限り)影響を受ける。



twitter2.jpg



しかも、
電話番号の中には
2要素認証に使われているものもあるため、

EU圏外のユーザーは
知らない間にこの被害にあう脆弱性がある。



Twitterが警告を受け、
バリック氏のものされる問題のネットワークを閉鎖したあと、

同社の調査チームは
この欠陥を悪用しているアカウントを大量に発見したが、
その数については明らかにしていない。



Ibrahim Balic.jpg



「イラン、イスラエル、マレーシアの特定IPアドレスから、
特に大量のリクエストが送られていることを発見した」

と同社はセキュリティー文書に書いた。



「これらのIPアドレスの中には、
国家が支援する組織とつながりのあるものが存在する可能性がある」。


この疑念は、
イランのIPアドレスからTwitterに対して
制限されていないアクセスが見られたことでも裏付けられる。



followmaricxy.jpg



イランでは
Twitterのアクセスは制限を受けていることから、

この事実は政府の関与を示唆している。


バリック氏はTechCrunch社の質問に対して、
「自分の行為はいかなる国家の支援も受けていない」
と答えた。


同機能を乱用していることが疑われるアカウントは
すべて停止されており、

API自体も
この種の悪用を防ぐための修正が施されている。



Balic.jpg



昨年Twitterは、
ユーザーデータの露出と漏洩の事象がいくつもあった。


さらにTwitterは、
広告パートナーにユーザーデータを渡しすぎたことに加えて、

2要素認証のための電話番号を
ターゲット広告に利用した事実も認めた。





ラベル:バリック氏
posted by followmatic at 13:02| XY:Ibrahim Balic | このブログの読者になる | 更新情報をチェックする