Twitterに致命的なバグ！電話番号を利用して他者アカウント情報を取得可能に

スマホの普及によってSNSの利用も当たり前になった昨今、TwitterやFacebookをはじめいくつかのSNSを使いこなす人も増えてきていると思います。

世界的にも利用者の多いTwitterは、そのカジュアルさから多くの企業や政治関係者らも利用しているのですが、とある方法でアカウント情報を取得できるバグが見つかり話題となっています。

誰でも実行可能

セキュリティ研究者であるイブラヒム・バリック氏は先日、Twitterのアプリに致命的なバグが存在し、それを利用する事でTwitterを利用しているユーザーのアカウント情報を取得する事ができる、と発表しました。

このバグでは該当ユーザーのアカウントIDと電話番号のセットを取得する事ができてしまうとの事。

バグはアプリ版の「アドレス帳の連絡先を同期」という機能に存在しており、この機能はあくまで知人友人のアカウントを見つけやすくしたり、あるいは自分のアカウントを見つけてもらいやすくするための機能です。

仮にアドレス帳に自分の電話番号だけ登録して他をすべて削除して「アドレス帳の連絡先を同期」を実行すると、Twitter側から自分のユーザーIDが送信されてくるそうで、これを応用して別の番号を送信するとその番号のユーザーIDが返ってくるそうです。

バリック氏はこの機能が悪用されないために「連続した電話番号（例えば末尾が0001、0002、0003と続くような）のリストを受け付けない機能」が実装されているのに気づき、20億個の電話番号をランダムに配置するアプリを使ってアドレス帳を生成し、「アドレス帳の連絡先を同期」を実行しました。

すると1,700万件以上のアカウントIDと電話番号のセットを取得できたそうで、この取得できた情報が正しいかどうかを第三者に確認してもらっており、このバグが存在する事が実証される事態に。

この中にはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツのユーザー情報が含まれていたそうで、中には政治家や役人が利用しているアカウントも見つけられたそうです。

Twitter側は「このバグが再び悪用されることのないように努力している」とコメントしていますが、今の所具体的な対策などが講じられておらず、しばらくこのバグが有効である事が示唆されています。

まとめ

仕組み的にもこの機能はTwitterの設定にある、「見つけやすさと連絡先」の「電話番号の称号と通知を許可する」と連動しているので、この手法で自分の電話番号を利用したツイ垢検索や、ツイ垢からの逆引き検索をされたくない人はすぐにOFFにした方が良いでしょう。

ちなみにこれを実行したバリック氏は、12月20日にTwitterから遮断されたそうです。