55.000+ Twitter usernames and passwords leaked(情報元のブックマーク数)

AnonymousがTwitterアカウント55000件を公開、ユーザとパスワードを含んでるらしい。

アカウント使い回しの人は超危険。

Today anonymous hackers leaked more than 55.000 hacked twitter accounts username and password through Pastebin. It was very shocking to see such a massive number of Twitter accounts are hacked. Also celebrity accounts are hacked.
'The micro blogging platform is aware of this hack and was taking necessary actions to save those people’s account from malicious activity', said a Twitter insider.
It was huge, 55.000+ accounts has been hacked and it wasn’t possible to share such a huge pile of usernames and passwords in a single paste. So it took the hackers five Pastebin pages to leak the data.

http://www.airdemon.net/hacker107.html

ここが気になる、「これ、警告だからな。お前ら他にも数百万のユーザいつでもハックできるぜ!」らしい。

This hack is just an alert to other millions of Twitter users that they could be hacked anytime.

http://www.airdemon.net/hacker107.html

重複もあるけど5万件超

「われわれは現時点で、Pastebinで公開されたアカウントおよびパスワードとされるデータのリストに2万件以上の重複や、既に停止されている多くのスパムアカウント、関連づけられていないと思われる多数のログイン認証情報(つまり、パスワードとユーザー名が実際にはお互いに関連づけられていない)を発見している。このことには言及しておくべきだろう」(Weeks氏)

Twitter、パスワードが大量流出 - CNET Japan

ということで、我らが徳丸さんも調査

真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

580個もある「315475」というパスワードが印象的です。これ、何かの意味があるのかなと最初思ったのですが、おそらくそうではなく、spam bot用に大量作成したアカウントで同一のパスワードを使っていたものではないか予想します(*1)。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

以上から言えることはあまり多くなさそうです。

pastebinに貼られていたパスワードが本物かどうかは分からない。合法的に調べる手段もない
アカウントの中にはspam bot用のものがかなりありそう
まったくデタラメでもなさそう(*1などの状況からの推測)
パスワードを盗む方法は複数あり、「twitterがパスワードをハッシュ保存していない」とは断定できない

念のため自分のアカウントがリストにないか確認するとよいでしょう。また、仮にリストになくても、自分のtwitterパスワードをこの機会に変更しておくとよいと思います。

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - 徳丸浩のtumblr

公式アナウンス、パスワードはTwitterから流れてないとの事。

昨日、日本でもTwitterのIDやパスワードが流出したという情報が駆け巡りました。ご心配をおかけし、申し訳ございません。関係部署があらためて検証したところ、Twitterからはどなたの情報も流失していないことが確認されました。 また、流失したとされて外部のサイトにポストされているアカウントには、Twitterからパスワードのリセットのリクエストをかけました。これらのアカウントはTwitterではないサイトから出たものと考えられます。大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

http://blog.jp.twitter.com/2012/05/blog-post.html

screenshot