Twitterが一部アカウントにおいて、強制ログアウトの処置を実施している。ログアウトされた場合でも、再度ログインすれば通常どおりに利用可能だ。これは、2021年に変更を行ったというパスワードリセットを強化するシステムに不具合が見つかったための処置となる。

Twitterのパスワードを自主的に変更した場合、ログイン中のデバイスからは一旦ログアウトされるのが通常の動作だが、変更を行ったのとは別のデバイスではログインしたままになるという不具合が見つかった。なお、ウェブでのセッションは影響を受けず、モバイルデバイスのみが影響を受ける。このため、影響を受けた可能性のあるユーザーをすべてのデバイスからログアウトさせたとのことだ。

パスワード変更を行うのは不審なアクセスがあった場合など、不正ログインが疑われる状況が多いだろう。パスワードを変えて安心と思っていたのに、実は攻撃者のデバイスではログインされたままだったというのは、影響度が大きい不具合と言えそうだ。

Twitterは8月、2021年6月に行った変更により、一部のアカウント情報が流出したと発表している。この時の情報にはパスワードは含まれていなかったが、2021年に行われた変更に起因するというのは今回の件と共通だ。8月には重大な欠陥を隠しているとの告発も行われており、管理体制を問われるという点では、マスク氏との法廷闘争にも影響を与えるかもしれない。

Source: Twitter