TwitterのAPIバグでDMや鍵付きツイートがサードパーティ開発者に送られていた可能性？影響は1％未満と発表

TwitterはAPIにバグが発見されたことを報告し、それが原因でユーザーのDMや非公開ツイートが受け取る権限のないサードパーティ開発者に意図せず送信された可能性があると発表しました。

このバグは2017年5月から存在し、今年9月10日に発見され、それから数時間以内に修正されたとのこと。Twitterはバグの影響を受けたTwitterアカウントは1％未満としつつ、このような問題が発生したことにつき謝罪を表明しています。バグが報告されたAccount Activity API（AAAPI）は、登録開発者がTwitter上で企業と顧客のコミュニケーションをサポートするツールを開発できるAPIです。このAAAPIを利用した企業アカウントとやり取りしたユーザーは、意図せず他の登録開発者にやり取りが送信された可能性があるとのこと。

さらにTwitterの発表によると、複雑な技術的情報の同時発生がバグにつながったとか。総合的には、あくまで「可能性」を強調しており、Twitterの広報担当者も米TechCrunchに「不正な開発者に誤送信されたとは考えにくい」とコメントしています。

しかし、バグが発見されたのは9月10日で、報告はそれから10日以上も経ってのこと。このタイムラグが何を意味するのかは不明です。

Twitterはバグの影響を受けたアカウントがあれば、アプリ内通知やTwitterのサイトから直接連絡をすると表明。そして実際に連絡を受けたユーザーが「私のDMは開発者に1年以上も送られていたかもしれないのですか？」と驚きとともに、通知のスクリーンショットをツイートで公開しています。

Sorry, what ?! My DMs may have been sent to developers for a more than a year?? pic.twitter.com/0ry6pyZIdI

- Karissa Bell (@karissabe) 2018年9月21日

さらにTwitterのサポートアカウントは「データが不正な当事者に送信された例は見つかりませんでしたが、最終的に起こらなったとは断言できません。そのため、バグの影響を受けた可能性のある人々にお伝えしています。巻き込まれたかもしれない方々には、今日にでも連絡します。このような事態を起こったことを遺憾に思います」と述べています。

We haven't found an instance where data was sent to the incorrect party. But we can't conclusively confirm it didn't happen, so we're telling potentially impacted people about the bug. If you were potentially involved, we'll contact you today. We're sorry that this happened.

- Twitter Support (@TwitterSupport) 2018年9月21日

Twitterの公式声明では、開発者パートナーに連絡を取り、所有すべきでない情報については削除義務を順守するよう徹底して求めているとのこと。さらに「調査はまだ継続中です。引き続き関連情報が入り次第お知らせいたします」と表明しています。

「Twitterは利用者からの信頼の上に成り立っており」と声明にもあるように、プライベートなDMを安心して使えるのは、まさに「Twitterが信頼できる」という前提があるからです。バグが発生するのは避けられないとしても、速やかな報告と対応を望みたいところです。