트위터가 최근 온라인에서 판매되고 있다고 보도된 고객 개인정보는 트위터의 시스템 취약점 악용으로 인해 유출된 것이 아니라고 밝혔다.
트위터는 1월 11일(현지 시각) 자사 블로그를 통해 “관련 조사를 시행한 결과, 해커가 시스템 취약점을 악용해 정보를 훔쳤다는 증거를 찾지 못했다”고 주장했다.
2022년 12월, 약 4억 개 이상의 트위터 사용자 이메일과 전화번호가 유출됐다는 소식이 전해졌다. 당시 다수 언론은 당시 유출이 2022년 1월 발견됐던 동일한 취약점을 통해 유출됐다고 보도했다.
이와 관련해 트위터는 "조사 결과, 이전에 보고된 사고나 트위터 시스템 악용해서 비롯된 정보와 관계가 없다. 해당 정보는 다양한 소스를 통해 온라인에서 이미 공개적으로 떠돌고 있던 정보일 가능성이 높다"고 설명했다.
트위터는 2022년 1월 버그 바운티 프로그램을 통해 트위터 시스템 취약점에 대한 보고를 받았다고 같은 해 8월 밝힌 바 있다. 해당 취약점으로 인해 누군가 트위터 시스템에 이메일 주소나 전화번호를 제출하면 이메일 주소나 전화번호가 어떤 트위터 계정과 연결됐는지 알 수 있었다. 당시 트위터는 해당 취약점은 2021년 6월 코드 업데이트로 인해 발생했으며 즉시 수정했다고 밝혔다.
또한 2022년 7월에는 트위터의 사용자 정보를 수집해 판매하려는 활동이 포착되기도 했다. 당시 트위터는 "해당 정보는 버그가 해결되기 전에 이를 악용해 수집된 것으로 확인했다"고 밝혔다.
이후 같은 해 11월, 트위터의 사용자 정보가 또 유출됐다는 소식이 전해졌다. 트위터는 "해당 정보는 같은 해 7월에 판매됐던 정보와 동일하다"고 밝혔다.
현재 트위터는 사용자에게 계정을 보호하기 위해 2단계 인증을 활성화할 것을 권장했다.
한편, 이스라엘의 사이버 보안 기업 허드슨록(Hudson Rock)의 공동 창립자이자 CTO인 알론 갈은 트위터의 주장을 믿을 수 없다고 말했다.
알론 갈은 “트위터는 최근 2억 건 정보 유출 사건에 대한 성명서를 발표했다. 하지만 다른 보안 전문가들과 논의하고 자체적으로 조사를 수행한 결과, 취약점 악용을 통한 유출 가능성을 여전히 빼놓을 수 없다”라고 강조했다.
이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
