BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Twitterのパスワードが漏洩した可能性があり、過去最大のデータ漏洩の1つになる可能性がある

Twitterのパスワードが漏洩した可能性があり、過去最大のデータ漏洩の1つになる可能性がある

ブックマーク

原文(投稿日:2018/05/03)へのリンク

読者の皆様へ:ノイズを減らすための一連の機能を開発しました。関心のあるトピックについて電子メールとWeb通知を受け取ることができます新機能の詳細をご覧ください。

5月3日、Twitterはユーザのパスワードが内部ログに平文で保存されていたバグを明らかにし、修正したことを発表した。影響のあるユーザの数についての情報は公開されておらず、すべてのユーザに対してパスワード変更が推奨されている。そして、Twitterと同じパスワードを使っているすべてのサービスのパスワード変更が推奨されている。すべてのユーザが実際に情報漏洩していた場合、これは歴史上最大の情報漏洩の1つとなる。

そのアナウンスの投稿では、Twitterのエンジニアリングチームは、パスワードが漏洩したと考える理由がないと述べている。

Twitterアカウントのパスワードを設定するとき、それをマスクする技術を使用しているので、会社の誰もそれを見ることはできません。私たちは最近、パスワードを内部ログにマスクしないで保存したバグを発見しました。私たちはバグを修正しました。私たちの調査では、漏洩や、だれかが誤用した兆候は見られません。
十分な注意が必要ですが、このパスワードを使用したすべてのサービスでパスワードを変更することを検討してください。

同社はこれを十分な注意と慎重な公開と表現している。TwitterのCEOであるJack Dorsey氏はtweetで次のように述べている。

最近、マスキング/ハッシュ処理を完了する前に、アカウントのパスワードが内部ログに書き込まれているバグを発見しました。私たちは修正しました。漏洩や誤用の兆候はなく、この内部の不具合について私たちがオープンにすることが重要であると考えています。

2013年のセキュリティインシデントで、Twitterは影響のあるユーザのパスワードをリセットする追加対応を実施した。今回は、パスワードに対する強制的でなく助言的なアプローチが、漏洩がなかったことにより確信を持っていることを示している可能性がある。そのインシデントで、彼らは外部からハッキングしようとする試みがあったかを特定し、さらにターゲットとなるユーザを特定した。

今回の調査では、攻撃者が約25万ユーザのユーザ情報の一部である、ユーザ名、電子メールアドレス、セッショントークン暗号化された/ソルトされたパスワードにアクセスした可能性があることが示されています。
予防措置として、パスワードをリセットし、これらのアカウントのセッショントークンを取り消しました。

外部への漏洩が発生していない場合でも、Twitterは以前に、ユーザアカウントに対して従業員が持つアクセスレベルに関して質問を受けていた。2017年12月、外部向けサポート担当社員がトランプ大統領のアカウントを一時的に削除した。このケースでは、専門家は、Twitterが持っていた内部統制のレベルを疑った。当時のCNNの技術記事で、Charles Riley氏とRishi Iyengar氏は次のように述べた。

一人の労働者が大統領の口座を切ることができたという事実が、Twitterが適切に内部統制されているかを尋ねさせることになってしまいました。
直後のコンセンサスとしては「いいえ」であったようです。

Twitterはこの内部ログに保存されているパスワードの数やそこにアクセスした従業員の数については述べていない。したがって、ユーザはすべてのパスワードがプレーンテキストで漏洩している可能性があるという前提で行動し、twitterのパスワードだけでなく、同じパスワードを使用するすべてのアカウントのパスワードも変更する必要がある。

Twitterは、登録ユーザ数を公開しておらず、「月間アクティブユーザ数」のレポートを提供する。しかし2016年のMotley Foolの記事によると、2016年第3四半期の投資家の招待で、Twitterは7億人以上の「年間アクティブユーザ数」を獲得していると主張している。全アカウントの数について保守的に7億とすると、すべてのTwitterアカウントの漏洩は、歴史上最大のセキュリティ違反の1つになる。2018に報告されたデータ漏洩のトップは、Yahooがトップで、30億のユーザアカウントが漏洩し、続いて、Adult Friend Finderの4.122億である。そのため、Twitterは規模で言うと2位になるが、パスワードの漏洩は2017年のEquifax Breachで漏洩した個人情報よりもインパクトが小さい。

Rate this Article

Adoption Stage
Style

この記事に星をつける

おすすめ度
スタイル

BT