Twitterの2FAテキストサービスの共同設立者が、政府に自社のネットワークへのアクセスを密かに販売していたと報じられている。これにより、政府は関心のある人物の所在を特定し、場合によっては通話記録を入手できるようになるという。
Twitterは、Mitto AGという会社を代理でテキストメッセージを送信する会社として利用していました。この会社には、二要素認証(2FA)に使用するセキュリティコードも含まれていました。Twitterは同社のサービスから「移行中」としていますが、まだ完全に利用を停止したわけではないようです。
ブルームバーグが報じた。
ツイッター社は米上院議員に対し、テキストメッセージでユーザーに機密性の高いパスコードを送るのを支援していた欧州のテクノロジー企業との提携を打ち切ると発表した。
ソーシャルメディア企業は、オレゴン州選出の民主党議員ロン・ワイデン氏への情報開示の中で、ミットーAGとの提携からサービスを「移行」していると述べたと、ワイデン氏の側近が明らかにした。
元従業員や顧客によると、ミットーの共同設立者は、政府が秘密裏に携帯電話を監視・追跡するのを支援するサービスを運営していた。
使用されたとされる手法の一つは、モバイル通信プロトコル「シグナリングシステム7(SS7)」の既知の脆弱性を悪用するものでした。SS7には重大なセキュリティ上の欠陥があり、通話の盗聴、テキストメッセージの読み取り、位置情報の追跡に利用される可能性があることは、少なくとも2016年から知られていました。
プライバシー侵害は、Mittoの共同創業者兼最高執行責任者(COO)であるイリヤ・ゴレリック氏によって、社内の他者に知られることなく行われたようです。Mittoの広報担当者は、同社自身は関与しておらず、現在調査中であると述べました。未確認情報によると、ゴレリック氏は現在同社に関与していないとのことです。
これは、2FAにテキストメッセージを使用しない方が良い理由の一つです。Apple独自の2FAサポート、またはGoogle Authenticatorなどのサードパーティ製アプリを、選択肢がある場合は必ず使用してください。企業がテキストメッセージのみを提供している場合、Appleの自動入力機能は少なくともリスクを軽減します。
写真: マフディ・バファンデ/Unsplash
ionter.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
