米Twitterは現地時間2016年6月10日、ユーザー名とパスワードが流出したとの報道に対し、Twitterのサーバーから盗まれたのではないと確信しているとの声明を発表した。ただし、追加の保護措置が必要とされる一部アカウントがあったため、これらアカウントをロックしたことを明らかにした。
米メディア(CNETやThe Verge)の報道によると、「Tessa88」を名乗るロシア人ハッカーが6月7日、3億7900万件のTwitterアカウントの電子メールアドレス、パスワード、ユーザー名のキャッシュを保有していると主張。流出データの検索エンジン「LeakedSource.com」は6月8日に、約3290万件のTwitterアカウント情報がダークウェブ上で販売されているのを確認した。Tessa88は米Time傘下のMyspaceや米LinkedInのデータ流出にも関わりがあると見られているが、どのようにTwitterアカウント情報を入手したかは不明という。
Twtiterは、ユーザー名とパスワードがダークウェブ上で確認されたとの報告から調査を行った。同社は「最近の複数のセキュリティ侵害によって盗まれた情報をつなぎ合わせたものか、あるいは被害ユーザーのマシン上に存在するマルウエアが情報を収集したもの、あるいはその両方による情報を組み合わせたもの」との見方を示し、Twitterのサーバーがセキュリティ侵害を受けてデータが流出したのではないと強調した。
しかし、他社サービスからの情報漏えいや、ダークウェブでのパスワード売買による影響を受けたアカウントを確認したため、当該アカウントをロックし、ユーザーにパスワードをリセットするよう通知したと説明した。
最近のSNSアカウント情報の漏えいに関しては、Myspaceが2016年5月に、不正侵入によるデータ流出を認めており、LeakedSource.comは3億6000万件以上のMyspaceアカウントが影響を受けたと伝えている(関連記事:Time傘下のMyspaceからユーザー情報流出、アカウント3億6000万件に影響か)。LinkedInも先月、2012年に盗まれたユーザー情報1億件以上が売買されているとの報告があり、そこに含まれている情報を利用して米FacebookのMark Zuckerberg最高経営責任者(CEO)をはじめとする著名人のSNSアカウント乗っ取りが行われたとも伝えられている(関連記事:Zuckerberg氏のSNSアカウントがハッキング被害に?TwitterやPinterestなど)。
[発表資料へ]
