TwitterのDMはアカウントを削除してから数年後でもデータが残っており復元可能と判明

by Andy Melton

Twitterのダイレクトメッセージ(DM)は、ほかのTwitterユーザーとタイムライン上にやり取りを流さずにメッセージの交換が可能な機能です。そんなDMのメッセージはたとえTwitterアカウントを削除して数年が経過していても、内容を復元することができるとセキュリティ研究者のKaran Saini氏が指摘しました。

Even years later, Twitter doesn’t delete your direct messages | TechCrunch
https://techcrunch.com/2019/02/15/twitter-direct-messages/

Twitter DMs Still Available to Download Years After Being Deleted | Digital Trends
https://www.digitaltrends.com/social-media/twitter-keeps-your-dms-even-years-after-you-delete-them/

DMではお互いに「メッセージを削除」することが可能ですが、こちら側のTwitterアカウントで送信したメッセージを後になって削除しても、相手側のDM画面には送信内容の履歴が残ります。相手側も同じメッセージを削除した場合、両者のDM画面から削除されたメッセージは見えなくなります。

また、Twitterはユーザーがアカウントを削除してデータを消す権利を持っているとしていますが、削除後30日以内であればアカウントを復活させることができるとも述べています。これは、誤ってアカウントを削除してしまった場合の救済措置のようなもの。

しかし、Saini氏によればこのようにやり取りを行っている両者がDMを削除していたり、アカウントを削除して30日どころか数年が経過していても、DMの内容を復元することができるとのこと。Saini氏は「Twitterがかなりの長期間にわたってユーザーのデータを保持していることに懸念を抱いています」と述べています。

by freestocks.org

Saini氏はTwitterのウェブサイトを通じて、すでにアーカイブ化されていた数年前に削除済のアカウントデータを入手することに成功したそうで、その中にはDMの内容まで記録されていたとのこと。また、セキュリティの甘いAPIを利用してDMのやり取りを行っている両者が削除したメッセージについても、内容を取得することができたとしています。

アカウントデータはTwitterの設定にある「Twitterデータ」からダウンロードすることが可能とのこと。

実際にTechCrunchがSaini氏の利用した方法を試したところ、すでに停止されたTwitterアカウントのデータを入手することができ、その中には2016年3月に送受信されたDMのメッセージも記録されていたそうです。

すでに削除されたはずのアカウントのDMが依然としてTwitterによって記録されている点について、Saini氏は「セキュリティな欠陥というよりは、機能的なバグである」としています。しかし、このアカウントデータの復元方法は、誰もが削除されたアカウントへの「明瞭なバイパス」を持つことを許すもので、ユーザーがTwitter上で「削除する」ことを選択しても実際には削除されていないということになってしまいます。

Twitterの広報担当者はこの問題について現在調査中だと述べました。