Twitter/Xの代替プラットフォームであるSpoutibleのユーザーは、同社CEOのクリストファー・ブージー氏に対し、最近のセキュリティ問題の性質についてより正直に説明するよう求めたところ、投稿を削除されたと主張している。同社はこの主張を否定しているが、この主張は、このスタートアップで過去1週間にわたり発生しているセキュリティインシデント騒動における、新たな奇妙な展開となっている。
先週、ブージー氏は、よりインクルーシブで親切なTwitterを標榜する自身のスタートアップ企業で、ユーザーのメールアドレスと電話番号が漏洩したセキュリティ上の脆弱性を認めた。しかし、データ漏洩で自分のデータが侵害されたかどうかを確認できるウェブサイト「Have I Been Pwned」の制作者であり、セキュリティ研究者のトロイ・ハント氏は、Spoutibleの開発者APIにも情報が漏洩しており、悪意のある人物がユーザーに知られることなくアカウントを乗っ取るのに利用できる可能性があることを発見した。
ハント氏は自身のウェブサイトで、このはるかに重大な容疑に関する調査結果を詳細に述べ、Spoutible API が他のユーザーのパスワードの bcrypt ハッシュ、2FA (2要素認証) の秘密、ユーザーのパスワードをリセットするために再利用できるトークンを含むデータを返していたと指摘した。
つまり、この脆弱性は非常に悪用されやすく、悪意のある人物がユーザーに気付かれずにアカウントを乗っ取る可能性があったと、The Vergeが当時報じていました。ハント氏は、Spoutibleのサービスからデータをスクレイピングしたと主張する第三者からこの問題について警告を受けていました。Have I Been PwnedのアカウントがXで確認したように、Spoutibleは設定ミスのあるAPIから20万7000件のユーザーレコードをスクレイピングしており、その中には「名前、メールアドレス、ユーザー名、電話番号、性別、bcryptパスワードハッシュ、2FAシークレット、パスワードリセットトークン」が含まれていました。
昨年6月の時点でSpoutibleの登録ユーザーは24万人だったため、今回の侵害は小規模ソーシャルネットワークのユーザーベースのかなりの部分に影響を与えた。(Spoutibleは現在のユーザー数の公表を拒否した。)
セキュリティ研究者は、この脆弱性が悪用され、ユーザーのパスワードのハッシュ化されたバージョンを入手できた可能性があると説明した。パスワードはbcryptで保護されていたものの、短いパスワードは推測や解読が容易だった可能性がある。さらに、アカウント所有者にはパスワード変更に関するメール通知が送信されないため、アカウントが自分の管理下になくなったことを知ることはできなかったとハント氏は指摘した。
このようなことはどのスタートアップにとっても問題となるはずだが、特にユーザーベースが、別のTwitterの代替手段に移る前にしばらくSpoutibleを試しただけのアーリーアダプターでいっぱいで、半ば放置されたアカウントが買収されるのを待っているようなスタートアップにとっては問題となる。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
新たな侵害:Spoutibleは、設定ミスのあるAPIから20万7千件のレコードをスクレイピングしました。これには、氏名、メールアドレス、ユーザー名、電話番号、性別、bcryptパスワードハッシュ、2FAシークレット、パスワードリセットトークンが含まれます。74%は既に@haveibeenpwnedに登録されていました。詳細はこちら:https://t.co/Nz8tJ38INu
— Have I Been Pwned (@haveibeenpwned) 2024年2月5日
SpoutibleのCEO、クリストファー・ブージー氏は、データ漏洩と脆弱性を認め、問題解決後、ユーザーに新たな強力なパスワードの作成を要請した。しかし、同氏は脆弱性の発見を自社ネットワークへの「攻撃」と呼び、データをスクレイピングした人物はSpoutibleの評判を傷つけようとした人物だと主張した。
「我々は、この人物が1年間Spoutibleを攻撃してきた首謀者だと確信している」とブージー氏は投稿で述べ、ハント氏にスクレイピングした記録を送った通報者に言及した。
TechCrunchへのメールで、ブージー氏は自身の考えをさらに詳しく説明し、昨年初めに出現した「Doubtible」というオンライングループが今回の攻撃の背後にいると主張した。ブージー氏によると、DoubtibleはTwitter/Xアカウントを運営しており、「Spoutible、私、そしてコミュニティの著名人に関する虚偽のツイートを毎日投稿している」という。「このグループが当社のデータの不正スクレイピングの背後にいると確信している」とブージー氏は述べ、Trustpilotのレビューへの返答でもこの主張を繰り返し、FBIに通報する意向も示唆した。
「脆弱性を暴くのに20万7千件以上の記録をスクレイピングする必要はない」とブージー氏は続けた。「しかし、データも含めることで、ニュース価値は格段に高まる。もし誰かが企業の評判を落とすために脆弱性を暴露しようとするなら、ハント氏はまさに理想的な連絡先となるだろう。彼らがハント氏を選んだ理由は明白だ。ハント氏のツイート、ブログ投稿、そしてフォローアップ動画は、彼らの意図と完全に一致している。ハント氏が事件をセンセーショナルに報道し、描写した方法は、まさに彼らが期待していたものだった」と彼は陰謀めいた口調で付け加えた。
ブージー氏は、セキュリティ上の脆弱性は、彼のチームの誰かがユーザー設定API向けの関数をパブリックAPI向けの関数と組み合わせて使用したために発生したと主張しており、その結果、暗号化されたメールアドレスと電話番号が平文で公開されたという。同氏によると、Spoutibleはこの事件を受けて、セキュリティ企業と提携し、システムのさらなる見直しを進めているという。
それでも、その後もBouzy社が脆弱性の深刻さを軽視しようとしていると非難する声が上がっている。その中には、データジャーナリストのダン・グエン氏も含まれる。グエン氏は最近、テクノロジー起業家のアニル・ダッシュ氏がBlueskyに「Spoutibleをやめろ」と警告する投稿をリシェアした。別のBlueskyユーザーは、Spoutibleによるユーザーデータの流出を「モンテスマの復讐」に似ていると皮肉を込めて表現した。
データ漏洩はスタートアップ企業にとってすでに悪いPRだが、同社が批判者を黙らせているかどうかが疑問視されている。
Spoutibleのユーザーの一人、マイク・ナターレ氏は、ソーシャルネットワーキングサイトでブージー社に透明性を高めるよう求めていた同氏の投稿をCEOが削除したと公に非難した。
「ブージーは私の投稿を全部削除し、私のウォールを消去しました」とナターレさんは別のブルースカイユーザーに返信した。
別の返信で、ナターレ氏は、ブージー氏が当初この件についてコメントするためにSpoutibleへの投稿を再投稿したが、その後「これは攻撃だという説」や「他の企業にも同じ欠陥があった」という主張に反論したため、ナターレ氏の投稿をすべて削除したと説明した。
削除された投稿には、削除を示す通常のタグが付いていません。Spoutibleでは、削除された投稿には「@user がこの返信を削除しました」というシステムメモが添付されます。例えば、Bouzy がこの返信を削除した場合、「@bouzy がこの返信を削除しました」と表示されます。
しかし今回のケースでは、Natale 氏は Bluesky のコメントで、投稿が消えてしまい、Spoutible のメインフィードも読み込まれないと述べています。
Twitter/Xアカウント「Doubtible」もナターレ氏の主張について投稿した。ナターレ氏はTechCrunchのコメント要請に対し、ブージー氏とのやり取り後に投稿が削除されたことを誰かから知らされたと回答した。
「Spoutibleは、トロイの作品を何らかの攻撃の一環だと仕組んだとして私が反論した直後に、私のアカウントに何か仕掛けてきました」と彼は言った。ブージーは何度か彼に「レスポウト」し、ナターレはさらに説明しようと投稿をいくつか投稿した。「その後、別のプラットフォームで誰かが私の投稿を削除したかどうか尋ねてきました。削除していなかったので、Spoutibleに戻りました。ウォールが読み込まれなくなり、投稿がすべて消えていました(1、2件を除く)。そこでチケットを発行しました」とナターレは語った。
https://twitter.com/doubtible/status/1755327407609815307
一方、SpoutibleのCEO、クリストファー・ブージー氏はナターレ氏の投稿を削除したことを否定している。
「ユーザーNataleの問題に関して言えば、私たちは彼の投稿やアカウントを削除していません。ユーザーが自身のコンテンツを削除し、私たちを虚偽に非難することは可能です」と彼は述べ、再び陰謀を示唆した。「この主張は根拠がなく、これ以上議論する価値はありません」と彼は結論付けた。
記事掲載後、ナターレ氏はブージー氏のコメントに応え、ライバルネットワークのBlueskyにある自身のSpoutibleプロフィールのスクリーンショットを公開した。プロフィールには「2つのSpout」と表示されているものの、実際には何も表示されていない。
Spoutibleの事件は、別の小規模企業であるHiveを想起させます。Hiveもイーロン・マスクによる買収直後にTwitterユーザーからのアクセスが殺到し、深刻なセキュリティ問題に見舞われました。この時、Hiveは重大な欠陥を修正するためにアプリを完全にシャットダウンし、その後アプリストアに復帰しました。Hiveは危機を乗り越え、最終的には復帰を果たしましたが、機会を逃したことでTwitterにとって脅威とは見なされなくなりました。
Spoutible の評判がこの汚点から回復するかどうかもまだ分からない。
2024年2月13日午前7時30分(東部標準時)にナタリーのコメントを追加して更新しました。2024年2月15日午後2時36分(東部標準時)にスクリーンショットを追加して更新しました。
