Twitter、「電話番号やメアドからアカウントを特定できる」脆弱性とその被害について発表

　Twitter（ツイッター）は、ログインフローで電話番号やメールアドレスを入力すると、既存のTwitterアカウントと紐付いているかどうか判定できるかどうか、紐付いている場合はどのアカウントかを特定できる脆弱性とそれに起因した被害について発表した。

　今回同社が示した脆弱性は、2022年1月に報告があった後、すぐに調査し修正された。その時点では、誰かがこの脆弱性を利用したことを示す証拠はなかったという。

　しかし、Twitterは2022年7月、何者かがこの脆弱性を利用し、収集した情報の売却を申し出ている可能性があることを報道を通じて認識し、販売可能なデータのサンプルを確認した結果、修正前に悪質な業者がこの問題を利用していたことを確認したという。

　なお、この被害の影響を受けたことが確認できたアカウント所有者には、直接通知する予定だという。

　同社は、アカウントを保護する方法として、Twitterアカウントに電話番号やメールアドレスなど一般に公開されているものを登録しないこと、2段階認証を有効にすることを推奨している。