Twitterのセキュリティは根本的に脆弱--アカウントを乗っ取られた被害者が主張

　Twitterのユーザー、中でも人が欲しがりそうなハンドル名を持つユーザーは、アカウントを盗まれるリスクが高いと、ある人物が警告している。先ごろTwitterアカウントを乗っ取られたこの人物によれば、Twitterのセキュリティシステムには根本的な脆弱性があるという。

　アカウントを乗っ取られたDaniel Dennis Jones氏（アカウント名は@blanket）によると、Twitterでパスワードを再設定する方法は、より制限の厳しいシステムを持つ他のサービスと比べて、さまざまな総当たり方式でアカウントへの侵入を試みることを可能にしているという。

　Jones氏は、自身の最近の体験を記した非常に長いまとめ記事の中で、Twitterの採用しているセキュリティシステムがアカウント単位ではなくIPアドレス単位でログイン制限をかけるため、ハッカーが複数のIPアドレスを使用して何度もアカウントへの侵入を試みることが可能であることを発見したと述べている。ログインの試行回数が規定の数を超えたらログインできないようにしたり、Googleのような2段階認証システムを採用したりしていれば、これほど多く侵入を試みることはできないはずだ。

　BuzzFeedはJones氏の被害に関する記事の中で、同氏のアカウントを盗んだハッカーは「よく使われるパスワードで繰り返しログインを試みるプログラムを使用した。Twitterを含め、ほとんどのサイトは、一定の回数ログインを失敗すると、ユーザーアカウントを停止または無効化したり、CAPTCHAを表示したりする。だが、Gmailなど多くのサービスがアカウント単位でログイン試行回数を制限しているのに対し、Twitterは同じIPアドレスから何度もログインを試みる行為のみを制限しているようだ」と述べている。

　この件についてTwitterにコメントを求めたが、今のところ回答は得られていない。

　Jones氏が述べているように、その後@blanketなど人気のある多くのハンドル名が、ForumKorner.comという名のサイトで（たいていは格安の値段で）売られていることが分かった。だが、同氏はTwitterに何度か支援を要請した結果、どうやら無事にアカウントを取り戻すことができたようだ。