ツイッター、バグで1700万人の電話番号が照合可能に

2019年12月25日、ソフトウェア開発者でありセキュリティ研究者でもあるIbrahim Balic（イブラハム・バリック）氏が、ツイッターのandroidアプリのバグを利用して1700万件の電話番号とTwitterユーザーIDを関連付けることに成功したことをスタートアップ関連ニュースサイトTechCrunch報じた。なおTwitter側は今月20日に既に対処しており、今回バリック氏が行った方法を使用して電話番号を入手することはもう不可能となっている。

Twitterにはアカウントの連絡先情報としてメルアドや電話番号を登録する機能があるが、これによりメルアドや電話番号を知っている知り合いのTwitterアカウントを簡単に探し出すことが可能になる。気になる方や自分の設定がわからない方は「プロフィール→プライバシーとセキュリティ→見つけやすさと連絡先」で確認して欲しい。

バグと利用法

記事の内容によれば、バリック氏は膨大な数の電話番号リストを作成し、Twitterのアドレス帳の連絡先を同期する機能を利用して一斉にアップロードを実行。ただしTwitterでは連続した番号を拒否するため、バリック氏は20億件もの番号を作成した後、ランダムに並び替えてからアップロードしたのだ。さらに、20億件もの番号ともなればファイルのサイズが大きすぎてウェブ版では受け付けないという。

つまりandroidアプリのバグとは、膨大なファイルサイズの電話番号データを受け付けるというものになる。このバグを利用して2ヶ月かけて連絡先に電話番号を登録しているユーザーアカウント情報を入手したという。バリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」とTechCrunchに語った。入手できた情報は、イスラエル・トルコ・ギリシャ・アルメニア・フランス・ドイツのユーザーだという。

バリック氏はTechCrunchに対して、実際に電話番号を関連付ける作業を行ってみせたという。その場でイスラエルの有料政治家のユーザーアカウントが関連付けられた。

バリック氏は今回のバグをTwitter側に直接知らせることはせず、政治家や官僚といった有力なユーザーに対してのみ、WhatsAppのグループにメッセージを送り、直接彼らにバグの件を知らせたという。Twitter側はTechCrunchに対し「バグが悪用されないよう修正作業を進めている」とコメントした。