Twitterにはバグや脆弱性を報告した人に対して内容の重大性に応じて報奨金を支払う「バグ報奨金制度」があります。Twitterにバグを申告して報奨金を得た二人の技術者がバグの内容をブログで公開しており、他人のアカウントのパスワードが分からなくても、アップロードする画像やムービーを勝手に削除したり、他人に成り代わって自由にツイートしたりできるバグが存在したことが明らかになっています。

How I took control of your Twitter account (tweeting, viewing/deleting photos and other media)

http://www.anandpraka.sh/2017/05/how-i-took-control-of-your-twitter.html

Publish tweets by any other user - Kedrisec security blog

http://kedrisec.com/twitter-publish-by-any-user/

Twitter Bug Allowed Hackers To Tweet From Any Account - Motherboard

https://motherboard.vice.com/en_us/article/twitter-bug-allowed-hackers-to-tweet-from-any-account

Twitterはメディア向けのムービー投稿フォーム「Media Studio」を2016年8月にリリースしました。このMedia Studioがリリースされた当日に、Twitterのバグ報奨金プログラムに参加している技術者のAnand Prakash氏は、新しいサービスに脆弱性がないかをチェックしました。そして、Prakash氏はその日のうちに、他人のTwitterアカウントのパスワードを知ることなく、他人のアカウントでツイートできる抜け穴があることを発見しました。

Prakash氏によると権限チェックが機能していなかったため、ターゲットのTwitterアカウントのIDをStudioのコードに置き換えることでパスワード管理画面にアクセスすることなくツイートすることが可能だったとのこと。実際に、Prakash氏は友人の同意を得て実験を行い、友人のアカウントでつぶやいたり、写真や画像を削除したり、他のアカウントでアップロードした画像やムービーを閲覧できることを確認しています。

他人のアカウントで勝手にツイートする様子は以下のムービーで確認できます。

Tweet from victim's account. - YouTube

他人のツイートから勝手にメディアファイルを削除する様子はコレ。

Delete media from victim's tweets - YouTube

Prakash氏は2016年8月29日に、Twitterに脆弱性を報告した結果、すぐにバグは修正されたとのこと。そして9月3日にPrakash氏はTwitterからバグを発見し報告した対価として5040ドル(約55万円)の報奨金の支払いを受けています。なお、Prakash氏が脆弱性を発見した時点では、Media Studioは事前に登録された一部のメディアのみが利用できる限定公開だったため、Twitterはアカウントが侵害されたという被害はなかったと報告しています。

しかし、Prakash氏の他にもMedia Studioのバグを発見した技術者がいます。セキュリティ研究者のKedr(Kedrisch)氏は、Media Studioにあるバグを悪用して、他人のTwitterアカウントを操作できる同様の脆弱性を発見したそうです。Kedrisch氏によると、ターゲットユーザーとメディアファイルを共有した後で、投稿リクエスト時にコード上のIDを修正することで、他人のTwitterアカウントからツイートできたそうです。



Kedrisch氏は脆弱性を探し始めてから数日後にこのバグを発見したそうで、2017年2月25日に脆弱性についてTwitterに報告しています。Twitterは3日後にバグを修正し、Kedrisch氏は報奨金として7560ドル(約83万円)を受け取りました。

TwitterはKedrisch氏が発見したバグによって、何らかの被害が発生したかどうかについて明らかにしていません。しかし、バグがサービス開始当初から存在していたとすれば、数カ月間も他人になりすましてツイートすることが可能だったことになります。アメリカのドナルド・トランプ大統領のようにTwitterが大好きな権力者がいる中で、その人物に成り代わって勝手につぶやけば政治的・経済的に大きな影響を与える重大事につながりかねないことから、Twitterの場合は「単なるバグ」という一言で済ませられない深刻な問題だと言えそうです。