Twitterで情報漏えい、他要素認証を設定しましょう
Twitterで大量の個人情報の漏えいがあったようです。他要素認証を競ってしましょう。
何があったのか?
Twitter社は2022年1月にバグ報奨金プログラムを通じて 2021年6月の更新で脆弱性が混入している報告を受け、 修正を行ったようです。当時は漏えいを示す証拠はなかった そうです。
Twitter Privacy Centerの記事 によると、
In July 2022, we learned through a press report that someone had potentially leveraged this and was offering to sell the information they had compiled. After reviewing a sample of the available data for sale, we confirmed that a bad actor had taken advantage of the issue before it was addressed.
(2022年7月、何者かがこれを悪用する可能性があり、収集した情報の販売を申し出ていることが報道により判明しました。販売可能なデータのサンプルを確認したところ、この問題が解決される前に悪質な業者が利用したことが確認されました。)
"accounts and private information on Twitter" - Twitter Privacy Center
漏えいしたのは、アカウントに紐付けられた電話番号、メールアドレス、 ユーザー名、ログイン名、プロフィール画像のURLなどで、パスワードを 流出していないようです。
Twitterでのセキュリティを強化しましょう
今回パスワードの流出はなかったようですが、Twitterのセキュリティを 見直すことにしました。
2要素認証を使いましょう
私は可能な場合は2要素認証を使用していますが、 Twitterは長年アプリでログインしてそのままだったので 2要素認証の設定をやっていませんでした。ちょっと 驚きです。
2要素認証を行っていれば、パスワードが流出していても あなたが持っている物理的な何かがないとログインできないので 安心です。
設定の方法は、 More > Settings and privacy > Security and account access > Security > Two-factor authentication とメニューをたどって行きます。
Twitterの2要素認証で選択できる方法は以下の3つです。
SMS(Text message)
Authentication アプリ (Google Authenticatorなど)
Security Key
1と2はスマホに紐付いていますし、3はYubikeyなど物理的に 保持しているものに紐付いています。
私は 1Password をパスワード管理に使用しておりAuthenticationアプリの ワンタイムパスワードにも対応しているので2の方法を 選択しました。
不要な連携アプリの削除
Twitterでサードパーティプリを使っている場合は、 パスワード変更や2要素認証の設定を行っても 以前の認証情報を保持しておりそのまま利用できてしまいます。
接続しているアプリを一旦解除するには、 More > Settings and privacy > Security and account access > Apps and session > Connected apps とメニューをたどって行きます。
接続しているアプリが表示されます。
私の場合、これまで見直しを行ってこなかったので、 歴代のTwitterクライアントなど20個のアプリがぶら下がっていました。
再ログインする手間はありますが、見直しも面倒なので一旦すべて 接続を削除しました。必要に応じて再ログインを行いました。