ユーザーのプライバシー保護を怠ったとして米連邦取引委員会(FTC)が米Twitterを提訴していた件で、両者は米国時間2010年6月24日、和解に合意したことを明らかにした。
FTCは、Twitterのデータセキュリティがきわめてずさんだったことが原因で、攻撃者に管理者権限への不正アクセスを許したと批判。攻撃者はユーザーが非公開に設定している情報やツイート(コメント)にアクセスしたほか、著名人のアカウントを乗っ取って偽のツイートを投稿した。
このプライバシー侵害は2009年1月から5月にかけて発生した。攻撃者は自動パスワード推測ツールを使って何度もログインを試み、管理者のパスワードを探し当てた。このパスワードを用いて複数のパスワードをリセットし、非公開情報やツイートにアクセスしたり、Barack Obama次期大統領(当時)のアカウントから偽のコメントを投稿したりした。
FTCによれば、Twitterは管理者権限への不正アクセスを防止する仕組みを取り入れておらず、推測しにくいパスワードにすること、ログインが一定回数失敗した場合はパスワードを保留または失効とすること、といった簡単な対応もしていなかった。
和解条件では、Twitterに対して、包括的な情報セキュリティプログラムを構築および保守し、今後10年にわたり毎年外部監査を受けることを義務づける。また20年間、非公開の消費者情報のセキュリティ、プライバシー、秘密性の範囲について消費者の誤解を招く行為を禁じる。
Twitterによると、昨年1月に45アカウント、4月に10アカウントが不正アクセスを受け、9アカウントから偽ツイートが投稿されたという。
