【無料】SpoutibleのAPI脆弱性で207,000件のアカウント情報が流出：Twitter代替サービスのセキュリティ問題

2024年1月、Twitterの代替サービスとして登場したSpoutibleで、APIの脆弱性が発見され、約207,000件のユーザーアカウント情報が流出したことが報告されました。影響を受けたデータには、ユーザーの電子メールアドレスやプロフィール情報、さらにはハッシュ化されたパスワードも含まれていました。

この脆弱性は、SpoutibleのAPIに簡単なエクスプロイトを仕掛けることで、ユーザー名を追加するだけでアカウント情報にアクセスできるというものでした。セキュリティ研究者のトロイ・ハント氏がこの問題に取り組み、調査を進めた結果、bcryptでハッシュ化されたパスワードが回収されていたことが明らかになりました。

ハント氏は、ハッシュ化されたパスワードがAPI経由で返されることは非常に危険であり、bcryptが現在のパスワード保存の標準ではあるものの、完全に解読不可能なわけではないと指摘しました。

SpoutibleのCEOであるクリストファー・ブージー氏は、この重大なセキュリティインシデントについて謝罪し、事件をFBIに報告しました。ブージー氏はまた、同社がすぐにAPIセキュリティを強化し、今後同様の問題が発生しないよう対策を講じることを約束しています。

この事件は、特に新興のSNSプラットフォームが、急速な成長と同時にセキュリティ面での課題にも直面する現実を浮き彫りにしました。Spoutibleは2023年2月にサービスを開始し、わずか1年でユーザー数は24万人に達しましたが、このセキュリティ問題により、ユーザーの信頼を取り戻すための対応が急務となっています。

Spoutibleの事例は、APIの脆弱性が重大なデータ流出に繋がるリスクを強調しており、他のサービスも同様の脆弱性に対する対策が求められています。今回の流出が引き起こした影響はまだ完全には明らかになっていませんが、被害を受けたユーザーは詐欺やフィッシング攻撃の標的にされる可能性が高く、さらなる警戒が必要です。