AnonymousがTwitterアカウント55000件を公開、ユーザとパスワードを含んでるらしい。

ここが気になる、「これ、警告だからな。お前ら他にも数百万のユーザいつでもハックできるぜ！」らしい。

This hack is just an alert to other millions of Twitter users that they could be hacked anytime.

http://www.airdemon.net/hacker107.html

重複もあるけど5万件超

「われわれは現時点で、Pastebinで公開されたアカウントおよびパスワードとされるデータのリストに2万件以上の重複や、既に停止されている多くのスパムアカウント、関連づけられていないと思われる多数のログイン認証情報（つまり、パスワードとユーザー名が実際にはお互いに関連づけられていない）を発見している。このことには言及しておくべきだろう」（Weeks氏）

Twitter、パスワードが大量流出 - CNET Japan

ということで、我らが徳丸さんも調査

真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

580個もある「315475」というパスワードが印象的です。これ、何かの意味があるのかなと最初思ったのですが、おそらくそうではなく、spam bot用に大量作成したアカウントで同一のパスワードを使っていたものではないか予想します(*1)。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

以上から言えることはあまり多くなさそうです。

pastebinに貼られていたパスワードが本物かどうかは分からない。合法的に調べる手段もない
アカウントの中にはspam bot用のものがかなりありそう
まったくデタラメでもなさそう(*1などの状況からの推測)
パスワードを盗む方法は複数あり、「twitterがパスワードをハッシュ保存していない」とは断定できない

念のため自分のアカウントがリストにないか確認するとよいでしょう。また、仮にリストになくても、自分のtwitterパスワードをこの機会に変更しておくとよいと思います。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

公式アナウンス、パスワードはTwitterから流れてないとの事。

昨日、日本でもTwitterのIDやパスワードが流出したという情報が駆け巡りました。ご心配をおかけし、申し訳ございません。関係部署があらためて検証したところ、Twitterからはどなたの情報も流失していないことが確認されました。 また、流失したとされて外部のサイトにポストされているアカウントには、Twitterからパスワードのリセットのリクエストをかけました。これらのアカウントはTwitterではないサイトから出たものと考えられます。大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

http://blog.jp.twitter.com/2012/05/blog-post.html

関連URL

• Twitter、パスワードが大量流出 - CNET Japan
• [N] ツイッター、パスワード流出か
• 個人情報 : 「Twitterからの流出ではない」、パスワード流出報道を受けTwitterが発表 | RBB TODAY (ブロードバンド、セキュリティのニュース)