オランダのセキュリティー専門家が、トランプ大統領のTwitter(ツイッター)アカウント、@realDonaldTrumpのパスワードを推測してアクセスすることに成功したと言っている。パスワードは “maga2020!” だった。
GDI Foundationのセキュリティー研究者でセキュリティー脆弱性を見つけて報告するDutch Institute for Vulnerability Disclosure(オランダ脆弱性公表機関)の代表を務めるVictor Gevers氏はTechCrunchに、大統領のアカウントパスワードを推測し、5回目の試みで成功したと語った。
アカウントは2段階認証で保護されていなかったため、Gevers氏のアクセスを許してしまった。
ログイン後同氏は、国土安全保障省サイバーセキュリティ・イン フラストラクチャセキュリティ庁(CISA)の一部門であるUS-CERTにメールでセキュリティー欠陥を報告し、TechCrunchはそのメールを確認した。Gevers氏によると、大統領のTwitterパスワードはその後すぐに変更された。
トランプ氏のTwitterアカウント内部のスクリーンショット(画像クレジット:Victor Gevers)
Gevers氏がトランプ大統領のTwitterアカウントにアクセスしたのはこれが2度目だ。
1度目は2016年で、Gevers氏はふたりの研究者と共に、2012年のLinkedIn侵害事件で流出したデータからトランプ氏のパスワードを抽出、解読した。研究者らはトランプ氏のテレビ番組 “The Apprentice”のキャッチフレーズだったパスワード、”yourefired” で彼のTwitterアカウントに入れることを確認した。Gevers氏はオランダの地元当局に問題を報告し、トランプ氏がパスワードの安全性を高める方法を助言した。当時提案したパスワードのひとつが “maga2020!” だったと彼は言った。それが何年も後に通用するとは「思っていなかった」とGevers氏は言った。
オランダのニュース機関、Vrij Nederlandがこのニュースを最初に報じた。
Twitter広報担当者のIan Plunkett氏は声明で次のように語った。「われわれはこの主張を裏付ける証拠を、本日オランダで報じられた記事を含め何も見ていません。当社は米国の政府機関や選挙に関連する注目すべきTwitterアカウントについて、積極的にアカウントのセキュリティー対策を行っています」
Twitterは9月に、政治候補者や政府アカウントのセキュリティー強化を行うと発表し、2要素認証の利用も推奨するが強制はしないと言った。
トランプ氏のアカウントは、大統領就任後に新たな保護によって堅牢になったといわれているが、具体的な保護方法についてTwitterは公表していない。7月にTwitterのネットワークに侵入し、『管理ツール」を使って著名人アカウントを乗っ取り、暗号通貨詐欺を働いたハッカー集団は、トランプ氏のアカウントにアクセスしなかった。
ホワイトハウスおよびトランプ陣営の広報担当者はすぐにコメントしなかったが、報道によるとホワイトハウスのJudd Deere副報道官は、本件について「まったく真実ではない」と言いながら、大統領のソーシャルメディア・セキュリティーについてのコメントを拒んだ。CISAの広報担当者は報道内容を確認していない。
「自分のツイートで国際的問題や株式市場の崩壊を起こせる人物がそんな簡単なパスワードを使い、二要素認証を行っていなかったとは信じられない」と英国サリー大学のAlan Woodward教授は語った。「彼のアカウントは2016年にハックされていながら、ほんの数日前に誰もハックされていないと彼が言ったのは、ビンテージ2020級の皮肉だ」
過去にGerver氏は、顔認識データベースをウィグル人イスラム教徒の追跡に使った事象やオマーンの証券取引所の脆弱性などのセキュリティー事象を報告している。
関連記事:
「誰もハッキングされない」と主張するトランプ氏のホテルは2度もハックされている
トランプ大統領がSNSルールに再違反、新型コロナはインフルより「はるかに致死力が弱い」と虚偽の主張を投稿
画像クレジット:SOPA Images / Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )