ツイッター社は水曜日、5万件以上のユーザー名とパスワードがインターネット上に流出したと思われるデータ漏洩事件について調査を継続中であると発表した。
データは、ハッカーが不正に得た情報を投稿するのによく使われるサイト「Pastebin」に、5ページ(1、2、3、4、5)にわたって投稿されました。通常、大容量ファイルが関係する場合、データ窃盗犯はサイトでそのエクスプロイトを「予告」し、大容量ファイルのダウンロードに対応しているBitTorrentなどのサイトへのリンクを記載します。Pastebinの最大ファイルサイズは512KBです。
Twitterは、Pastebinに投稿された情報の多くがゴミのように思われるため、この漏洩を軽視している。約2万件の重複があり、アカウントの多くはアカウント停止中のスパマーのものであり、中にはユーザー名とパスワードが一致しない「リンクされていない」情報も含まれている。
さらに、一部のアカウントはロボットプログラムによって作成された偽アカウントであるという証拠もあります。Hacker Newsがランダムに選んだ20のアカウントを分析したところ、フォロワーが6人を超えるアカウントはなく、停止されていないアカウントはすべて数千人をフォローしており、すべて自動生成されたと思われる類似のパスワードが設定されており、メールアドレスの確認を求める未返信のメッセージも多数ありました。
もう一人のハッカー、エイドリアン・ラモ(数千件に及ぶ米国政府の機密文書をウィキリークスに漏洩した米兵ブラッドリー・マニングの情報提供で悪名高い)は、今回の漏洩の深刻さを痛烈に批判した。「これらのファイルは2011年初頭から中頃にかけてのものであり、仮に侵入があったとしても、最近のものではなく、Twitterが関与したものではない可能性が高い」と、彼は自身のFacebookページに記した。
「これらのメールには機密性の高いドメインに属するメールアドレスは含まれておらず、Twitter社の社員も含まれていない。特に、ハッカーコミュニティから見ておそらく最も嫌われている元ハッカーである私が含まれていない。実際、かなりランダムに思える」と彼は指摘した。
「このようなリストは以前にも見たことがある」と彼は続けた。「そして、このリストの断片は例外なく、フィッシングされたパスワードのコレクションを大きなリストにまとめ、古さを隠すために少し新しくし、新しくてニュース価値のあるものとして提示したものだと私は予想していた。」
Twitterの広報担当者によると、同社は影響を受けたアカウントのパスワードリセットを実施しているという。一方、Twitterはアカウント情報を漏洩した人物とその動機について捜査を進めている。
Twitter 社は先月、マイクロブログサイトを狙った最も攻撃的なスパマーおよびスパムツール作成者 5 社に対して訴訟を起こし、サービス上のスパム対策への取り組みを大々的に宣伝していたため、これほど多くのアカウントがスパマーの所有物であるというのは皮肉なことだ。
データ窃盗犯がアカウント情報をどのように入手したかは、Twitterにとっても重要です。なぜなら、Twitterは会員のプライバシー保護のため、米国連邦取引委員会との合意に基づいて運営しているからです。この合意は昨年締結されたもので、2009年に発生した2度のハッキング攻撃を受けて、オバマ大統領を含む著名人のTwitter会員がアカウントを乗っ取られたことが発端となっています。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
