Twitter、電話番号からユーザーを見つける機能が悪用されていたことを発表 22
ストーリー by headless
悪用 部門より
悪用 部門より
Twitterは3日、連絡先に登録した電話番号からユーザーを見つける機能を悪用してユーザー名と電話番号を照合する行為に対策を実施したことを発表した(Twitter Privacy Centerの記事、 The Registerの記事、 SlashGearの記事、 Mashableの記事)。
Twitterは昨年12月24日、何者かがTwitter APIを悪用してユーザー名と電話番号を照合するため、大規模な偽アカウントのネットワークを使用していることに気付いたという。Twitterでは問題のアカウントを即刻凍結。調査を進めた結果、同じAPIエンドポイントを悪用するアカウントが他にも存在することが判明したそうだ。問題のアカウントは幅広い国々に存在したが、特にイラン・イスラエル・マレーシアのIPアドレスから大量のリクエストが送られていたといい、Twitterでは一部のIPアドレスが国家を背後に持つ人物と結び付けられる可能性があるとみている。
電話番号からユーザーを見つける機能はTwitterの「設定→プライバシーとセキュリティ→見つけやすさと連絡先 (要ログイン)」で「あなたの電話番号を連絡先に保存している利用者がTwitter上であなたを見つけ、つながれるようにします。」で設定可能で、設定をオフにしている場合やアカウントに電話番号を関連付けていない場合は脆弱性の影響を受けない。調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。
Twitterの電話番号でユーザーを見つける機能に関しては昨年、ランダムに生成した20億件の電話番号をアップロードしたところ、1,700万件が一致したとセキュリティ研究者が明らかにしている。このセキュリティ研究者の試みは12月20日にブロックされたとのことで、今回の発表とは別のようだ。
Twitterは昨年12月24日、何者かがTwitter APIを悪用してユーザー名と電話番号を照合するため、大規模な偽アカウントのネットワークを使用していることに気付いたという。Twitterでは問題のアカウントを即刻凍結。調査を進めた結果、同じAPIエンドポイントを悪用するアカウントが他にも存在することが判明したそうだ。問題のアカウントは幅広い国々に存在したが、特にイラン・イスラエル・マレーシアのIPアドレスから大量のリクエストが送られていたといい、Twitterでは一部のIPアドレスが国家を背後に持つ人物と結び付けられる可能性があるとみている。
電話番号からユーザーを見つける機能はTwitterの「設定→プライバシーとセキュリティ→見つけやすさと連絡先 (要ログイン)」で「あなたの電話番号を連絡先に保存している利用者がTwitter上であなたを見つけ、つながれるようにします。」で設定可能で、設定をオフにしている場合やアカウントに電話番号を関連付けていない場合は脆弱性の影響を受けない。調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。
Twitterの電話番号でユーザーを見つける機能に関しては昨年、ランダムに生成した20億件の電話番号をアップロードしたところ、1,700万件が一致したとセキュリティ研究者が明らかにしている。このセキュリティ研究者の試みは12月20日にブロックされたとのことで、今回の発表とは別のようだ。
電話番号は気軽に変更できない個人情報 (スコア:2)
SNSごときでアカウントの取得に電話番号を要求するシステムがそもそも腐ってる。LINEとか糞食らえだわ。
Re: (スコア:0)
そんな、あなたには LINE では Facebook 認証がおすすめ。
Re: (スコア:0)
Re: (スコア:0)
個人情報収集ビジネスになっちゃったよね。
それとこれとは話が違う (スコア:1)
自分の電話番号をたまたまその人が知っているからといって
ツイッター上でその人に対して身元を明かすかどうかは別問題
たまたま仕事でよく電話をかける相手が私のツイッターアカウントを発見し
「○○さんてドエロいイラスト描くんですね」とか「○○さんのカップリング妄想いつも楽しく読んでます」とか言われたらどうすんだよ死ぬしかないだろそんなの
Re: (スコア:0)
保険をかけるなら、費用はかかるけど、SMS用にもう一回線維持する必要があるってことだな。
Re: (スコア:0)
SMS認証がやらしいんだよ。家電OKなら光電話追加200円。
結局スマホと紐付けたいだけじゃん。
Re: (スコア:0)
むしろ仲間が増えて喜ぶべきじゃね
アカウント登録時期による (スコア:0)
昔登録したアカウントだと、SMS認証なしでも普通に使えるが、
最近登録したアカウントだと、SMS認証ないと高確率でブロックされる
Re:アカウント登録時期による (スコア:1)
電話番号の登録と、それを検索できるようにするのは、別個の設定です。
Twitter APIを使う開発者登録にもSMS認証は必須ですが、検索対象から外せてます。
Re: (スコア:0)
認証に必要だからと気が付かずに登録してしまった人がたくさんいそう
Re: (スコア:0)
非公開リストのタイトルをあっさり漏らしてしまうようなところが登録した電話番号をちゃんと検索できないようにしてると期待するのはナイーブすぎるのでは
Re: (スコア:0)
そこまで疑い始めると「Twitterなんか使うな」にしかならない気がする。
もちろんそれは1つの現実的な解でもあるはず。
Re: (スコア:0)
便利に使えないのは仕方ないとして、ログインしてない奴には見せない設計だからなあ。
昔は非ログインでフォロワーもいいねも見れた。見る専門はそれでいいはずなんだが。
Re:アカウント登録時期による (スコア:1)
ほんとそれ。アカウントを凍結して電話番号を関連付けるまで解除してくれないくせに、マッチポンプにもほどがある
これって対策したことになるの? (スコア:0)
Twitterでは問題のアカウントを即刻凍結。
調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。
怪しいアカウントを止めただけで、機能そのものは止めてないんだよね?
「バレないよう慎重にやれば今後も悪用可能なままですよ」って事じゃね?
これって「対応」ではあるけど「対策」じゃないんじゃね?
Re:これって対策したことになるの? (スコア:1)
というか、悪用なんですかね。
「あなたの電話番号...つながれるようにします」って、こういう結果になるのは明らかだし、分かった上で便利に思う人も多いんですよ、きっと。
(少なくともTwittetはそう主張してもいいような)
しかし、特定のアカウント名を返さないって、APIでの対応なのかな。
ユーザーが各自で、またはシステム側が自動で、この設定をoffにするほうが分かりやすい気がするけど、そういう意味じゃないんだろうか。
特にイ ラン・イスラエル・マレーシア (スコア:0)
その電話番号を知ってどうするのだろうか、イタズラ電話だろうか?
ちりりーん、電話にでてみると
かけてきた奴「やーい、お前、〇X △人だろ!!」ガチャン(叩きつける音)
電話に出た人はムカ!っとするのかな?
Re: (スコア:0)
余計なこと書いてる自国民ならば即座に警察が駆けつけるんだろ
Re: (スコア:0)
有名人や企業のアカウント乗っ取りのためにSIMハイジャックをする場合に電話番号必要だから
嫌なら使うな (スコア:0)
2chとふたばを使えばいいだけ
Re: (スコア:0)
Twitterは実名で登録していい子ちゃんにしてるわw
あそこにおれの人格は存在してない。