「実際のところ、ツイッター/Xからは28億件のレコードが流出しています。これはユーザー数の観点から見ても、史上最大規模のソーシャルメディアでの流出でしょう。流出させた人物が、メールアドレスや電話番号、パスワードなどの追加データを所有している可能性も否定できません」
月間アクティブユーザー数として耳にする2億~3億という数字は、特定期間にログインしたユーザーにすぎない。
「2025年1月に流出したデータセットには、28億を超えるユニークなツイッターのユーザーIDとスクリーンネームが含まれていました。代表的なサンプル100件をチェックしたところ、92件が正しいユーザーIDとスクリーンネームでした」
そしてThinkingOneは、こうも問いかけている。
「内部の関係者あるいは相当高度なハッキングを持つ者でなければ、どのようにすべてのツイッターのユーザーIDを取得できるのでしょうか?」
この件は進行中であり、筆者はXに対してコメントを求めているところだ。
Xがデータ流出について述べていること
2023年1月、当時のツイッターは、「ユーザーデータがオンラインで販売されている」という報道を受けて長文の声明を公表した。そこでは「ユーザーのプライバシーを守る責任を非常に真剣に受け止めている」という常套句が並んでいたが、同時に社内調査の結果、「オンラインで確認されたデータはXのシステムの脆弱性を悪用したものではない」と結論づけたと説明している。
しかし、その声明によると、2022年1月に「システムにメールアドレスまたは電話番号を入力すると、該当するアカウントがあればそれを特定できてしまう」という問題が明らかになっていたことも認めている。これはアップデート時のコーディングエラーが原因だったという。
Xによれば、2022年11月に「ユーザーのデータが漏洩した」と一部報道で伝えられた際、Xのインシデント対応チームが新たに報告されたデータと同年7月21日にメディアで報じられたデータを比較したところ、両者が同一のものであると確認した。その後、2022年12月には、同じ脆弱性を悪用して4億件以上のユーザーのメールアドレスや電話番号を入手したと主張する人物が現れた。さらに2023年1月には、2億件のX関連アカウントのデータを売りに出そうとする動きが報じられている。
Xは次のように整理している。
・2022年11月報道で対象となった約540万件のユーザーアカウントは、同年8月に流出が確認されていたものと同一だった
・4億件のデータ流出とされる「2回目の流出」は、先に報じられた事案とも新しい事案とも関連が確認できなかった
・2億件のデータセットについても、以前に報じられた事案やXのシステム脆弱性を悪用した漏洩との関連性は確認できなかった
・いずれのデータセットにもパスワードやパスワードが漏洩する可能性のある情報は含まれていなかった
