Twitterは8月5日(現地時間)、ゼロデイ脆弱性が悪用され、540万以上のアカウントデータに紐付けられた電話番号、メールアドレスなどの情報が流出したことを発表しました(ITmedia)。
昨年6月のシステム更新の際に発生したバグが原因で、今年の1月にバグ報奨金プログラムを通じて報告を受けて修正した時点では、脆弱性が悪用された証拠はなかったとのこと。
ただし、7月にアカウントリストが販売されていることを報道で知り、サンプルを確認した結果、脆弱性が修正される前に、悪質な業者がこの脆弱性を悪用したことを確認したと説明しています。
今回流出した情報は、アカウントに紐付けられた電話番号/メールアドレス、フォロワー数、ユーザー名、ログイン名、プロフィール画像のURLなどで、パスワードは流出していません。
Twitterはアカウントを保護するために2要素認証を有効にすることを推奨しています。
