Malwarebytesは9月26日(米国時間)、「Twitter fixes bug that left devices logged in after password reset」において、Twitterが不具合を修正したと伝えた。ユーザーが手動でパスワードをリセットした後、すべてのデバイス上でアクティブなセッションからログアウトされていないというバグが存在していたことがわかったという。
Twitterは先日、この問題について詳細を公式ブログで発表している。ブログによると、任意のパスワードリセット後に複数のモバイルデバイスがログインしたままになる不具合を修正したという。ある端末でパスワードを変更しても別の端末ではまだセッションを開いていた場合、そのセッションは閉じられていない可能性があったとされている(参考「An incident impacting password resets on Twitter」)。
なお、この不具合はWebセッションでは影響を受けず、適切に閉じられているとのことだ。この不具合は昨年に行われたパスワードのリセットに関するシステムの変更時に発生したと伝えられている。
アカウントのパスワードを明示的に変更後にAndroidやiOSなどの複数のデバイスでログインしたままにしていた場合、このバグが悪用され、なりすましや乗っ取りなどのセキュリティリスクとなる危険性があった。
Twitterはこの不具合の影響を受けた可能性のあるユーザーに対して、すべてのデバイスで開いているセッションからログアウトし、再度ログインしてもらうよう直接メッセージを送っている。また、設定で利用可能なコントロールを確認し、アクティブなオープンセッションを定期的に確認するよう勧めている。