9to5macは11月25日(米国時間)、「Massive Twitter data breach worse that reported; multiple hacks」において、Twitterで発生した大規模なデータ流出が想定以上に深刻だったと伝えた。今夏にTwitterの脆弱性が悪用され、大規模なデータ流出が確認されていたが、同じ脆弱性が複数の悪徳業者に悪用され、ハッキングされたデータが複数の情報源からダークWeb市場で売りに出されていたことが明らかとなった。

2022年1月、バグ報奨金プラットフォーム「HackerOne」のユーザーであるzhirinovskiy氏によって、プライバシー設定で非表示にしてもTwitterアカウントに関連する電話番号やメールアドレスが取得できてしまうという脆弱性が報告されていた。

発見された脆弱性がセキュリティ上問題であることをTwitterは認めており、発見した同氏に対してバグ報奨金を授与している。この脆弱性により540万のアカウント情報が窃取され、ハッキングフォーラムで販売されていた(参考「Twitter、540万のアカウント情報が窃取された可能性浮上-闇サイトで販売 | TECH+(テックプラス)」)

Twitterは、このデータ流出がバグ報奨金プラットフォームで報告された現在修正済みのゼロデイ脆弱性によって引き起こされたことを確認。2021年6月にコードを更新したことが原因で発生した脆弱性だったことを突き止め、すでに修正を行っている(参考「Twitter、540万のアカウント窃取の原因がゼロディ脆弱性だったと認める-確認を | TECH+(テックプラス)」)。

9to5macの調査により、同一のTwitterの個人データが複数の悪徳業者にアクセスされていたことがわかった。異なるフォーマットで同じ情報を含むデータセットが確認されており、別の脅威者によって窃取されたデータだと報告されている。

9to5macが発見したTwitterの大規模データには、イギリスおよび欧州連合(EU: European Union)加盟国、米国の一部のTwitterユーザの個人データが含まれているという。

9to5macはTwitterに対してコメントを求めたが、Twitterのメディアリレーションチーム全員が解雇されているため、回答は得られなかったと伝えている。