Twitterが8月5日にゼロデイ脆弱性を狙われて540万以上のアカウントデータを流出していたことを発表しました。
540万以上のアカウントの電話番号やメールアドレスが流出
An incident impacting some accounts and private information on Twitter
この脆弱性は去年の6月のアップデートによるバグが原因のもので、今年1月にバグ報奨金プログラムから報告されて修正したそうで、その時点では脆弱性が悪用されている形式はなかったそうです。
しかし7月にアカウントのリスト情報が販売されていることが報道され、修正される前に悪用されていたことが判明され、影響があるユーザーには通知しているそうです。
今回流出したのはユーザー名、ログイン名、電話番号やメールアドレス、フォロワー数、プロフィール画像のURLなどのようで、パスワードは流出していないようです。
Twiterは2要素認証を有効にすることを推奨
今回パスワードが流出しなかったのは幸いでしたが、電話番号やメールアドレスが流出したということで、スパムなどなんらかの詐欺行為で利用される可能性があるので注意が必要です。
なおTwitterはアカウントを保護するために2要素認証を有効にすることを推奨しています。