Security Affairsは8月5日(現地時間)、「Twitter confirms zero-day used to access data of 5.4M accountsSecurity Affairs」において、ゼロディ脆弱性が悪用され、Twitterアカウント情報が窃取されたことをTwitterが認めたと伝えた。
2022年7月末、サイバー犯罪者が当時修正されていなかったTwitterのゼロディ脆弱性を悪用し、540万人分のアカウント情報を窃取していたと報じられていた(参考「Twitter、540万のアカウント情報が窃取された可能性浮上-闇サイトで販売 | TECH+」)。
この脆弱性は今年1月にバグ報奨金プラットフォームにおいて報告されていたもので、Twitterは発見された脆弱性がセキュリティ上問題であることを認め、調査していた。しかし残念なことにこの脆弱性が悪用され、540万人分ものアカウントが窃取され、ハッキングフォーラムで販売されていた。
Twitterは、このデータ流出がバグ報奨金プラットフォームで報告された現在修正済みのゼロデイ脆弱性によって引き起こされたことを確認。2021年6月にコードを更新したことが原因で発生した脆弱性だったことを突き止め、すでに修正を行っている。
同社はこの問題の影響を受けたことが確認できたアカウントには、直接通知する予定としている。また、パスワードの流出はなかったと指摘する一方で、不正なログインからアカウントを保護するため、認証アプリやハードウェアセキュリティキーによる2要素認証を有効にするよう推奨している(参考「An incident impacting some accounts and private information on Twitter」)。
他のセキュリティファームでは、ハッキングフォーラムで販売されていたアカウント情報が他のサイバー犯罪者に購入されたという報告もある。Security Affairsは将来、攻撃者がこれらのデータを使用してTwitterアカウントを標的にする可能性があると警告している(参考「Twitter confirms zero-day used to expose data of 5.4 million accounts」)。
