パスワードを忘れた? アカウント作成
14106815 story
Twitter

Twitter、電話番号からユーザーを見つける機能が悪用されていたことを発表 22

ストーリー by headless
悪用 部門より
Twitterは3日、連絡先に登録した電話番号からユーザーを見つける機能を悪用してユーザー名と電話番号を照合する行為に対策を実施したことを発表した(Twitter Privacy Centerの記事The Registerの記事SlashGearの記事Mashableの記事)。

Twitterは昨年12月24日、何者かがTwitter APIを悪用してユーザー名と電話番号を照合するため、大規模な偽アカウントのネットワークを使用していることに気付いたという。Twitterでは問題のアカウントを即刻凍結。調査を進めた結果、同じAPIエンドポイントを悪用するアカウントが他にも存在することが判明したそうだ。問題のアカウントは幅広い国々に存在したが、特にイラン・イスラエル・マレーシアのIPアドレスから大量のリクエストが送られていたといい、Twitterでは一部のIPアドレスが国家を背後に持つ人物と結び付けられる可能性があるとみている。

電話番号からユーザーを見つける機能はTwitterの「設定→プライバシーとセキュリティ→見つけやすさと連絡先 (要ログイン)」で「あなたの電話番号を連絡先に保存している利用者がTwitter上であなたを見つけ、つながれるようにします。」で設定可能で、設定をオフにしている場合やアカウントに電話番号を関連付けていない場合は脆弱性の影響を受けない。調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。

Twitterの電話番号でユーザーを見つける機能に関しては昨年、ランダムに生成した20億件の電話番号をアップロードしたところ、1,700万件が一致したとセキュリティ研究者が明らかにしている。このセキュリティ研究者の試みは12月20日にブロックされたとのことで、今回の発表とは別のようだ。
  • SNSごときでアカウントの取得に電話番号を要求するシステムがそもそも腐ってる。LINEとか糞食らえだわ。

    ここに返信
    • by Anonymous Coward

      そんな、あなたには LINE では Facebook 認証がおすすめ。

      • by Anonymous Coward
        そしてFacebook認証のためのアカウント生成に二段階認証として電話番号が(ry #Facebook側は紐付けできないと思ってる
    • by Anonymous Coward

      個人情報収集ビジネスになっちゃったよね。

  • by Anonymous Coward on 2020年02月08日 19時43分 (#3758751)

    自分の電話番号をたまたまその人が知っているからといって
    ツイッター上でその人に対して身元を明かすかどうかは別問題

    たまたま仕事でよく電話をかける相手が私のツイッターアカウントを発見し
    「○○さんてドエロいイラスト描くんですね」とか「○○さんのカップリング妄想いつも楽しく読んでます」とか言われたらどうすんだよ死ぬしかないだろそんなの

    ここに返信
    • by Anonymous Coward

      保険をかけるなら、費用はかかるけど、SMS用にもう一回線維持する必要があるってことだな。

      • by Anonymous Coward

        SMS認証がやらしいんだよ。家電OKなら光電話追加200円。
        結局スマホと紐付けたいだけじゃん。

    • by Anonymous Coward

      むしろ仲間が増えて喜ぶべきじゃね

  • by Anonymous Coward on 2020年02月08日 12時48分 (#3758622)

    昔登録したアカウントだと、SMS認証なしでも普通に使えるが、
    最近登録したアカウントだと、SMS認証ないと高確率でブロックされる

    ここに返信
    • 電話番号の登録と、それを検索できるようにするのは、別個の設定です。
      Twitter APIを使う開発者登録にもSMS認証は必須ですが、検索対象から外せてます。

      • by Anonymous Coward

        認証に必要だからと気が付かずに登録してしまった人がたくさんいそう

      • by Anonymous Coward

        非公開リストのタイトルをあっさり漏らしてしまうようなところが登録した電話番号をちゃんと検索できないようにしてると期待するのはナイーブすぎるのでは

        • by Anonymous Coward

          そこまで疑い始めると「Twitterなんか使うな」にしかならない気がする。
          もちろんそれは1つの現実的な解でもあるはず。

          • by Anonymous Coward

            便利に使えないのは仕方ないとして、ログインしてない奴には見せない設計だからなあ。
            昔は非ログインでフォロワーもいいねも見れた。見る専門はそれでいいはずなんだが。

    • by Anonymous Coward on 2020年02月08日 17時09分 (#3758721)

      ほんとそれ。アカウントを凍結して電話番号を関連付けるまで解除してくれないくせに、マッチポンプにもほどがある

  • by Anonymous Coward on 2020年02月08日 14時39分 (#3758667)

    Twitterでは問題のアカウントを即刻凍結。

    調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。

    怪しいアカウントを止めただけで、機能そのものは止めてないんだよね?
    「バレないよう慎重にやれば今後も悪用可能なままですよ」って事じゃね?
    これって「対応」ではあるけど「対策」じゃないんじゃね?

    ここに返信
    • というか、悪用なんですかね。
      「あなたの電話番号...つながれるようにします」って、こういう結果になるのは明らかだし、分かった上で便利に思う人も多いんですよ、きっと。
      (少なくともTwittetはそう主張してもいいような)

      しかし、特定のアカウント名を返さないって、APIでの対応なのかな。
      ユーザーが各自で、またはシステム側が自動で、この設定をoffにするほうが分かりやすい気がするけど、そういう意味じゃないんだろうか。

  • by Anonymous Coward on 2020年02月08日 14時44分 (#3758669)

    その電話番号を知ってどうするのだろうか、イタズラ電話だろうか?

    ちりりーん、電話にでてみると
    かけてきた奴「やーい、お前、〇X △人だろ!!」ガチャン(叩きつける音)
    電話に出た人はムカ!っとするのかな?

    ここに返信
    • by Anonymous Coward

      余計なこと書いてる自国民ならば即座に警察が駆けつけるんだろ

    • by Anonymous Coward

      有名人や企業のアカウント乗っ取りのためにSIMハイジャックをする場合に電話番号必要だから

  • by Anonymous Coward on 2020年02月09日 1時45分 (#3758819)

    2chとふたばを使えばいいだけ

    ここに返信
    • by Anonymous Coward

      Twitterは実名で登録していい子ちゃんにしてるわw
      あそこにおれの人格は存在してない。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...