セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。
Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。
実はTwitterの連絡先アップロード機能には、シーケンシャルな(連続した)番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後ランダム化して、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。
バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。
電話番号にマッチしたアカウントの一部をサンプルとして、バリッ
スポンサーリンク
Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる
IT起業ニュース
コメント