匿名質問サービス「Peing」にまた重大な脆弱性(?)が見つかりおもちゃにされかける

peingに脆弱性があったと話題なのでまとめてみました
16

こんなツイートが夜中に現れた

【公式】Peing-質問箱- @Peing_net

第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。 詳細は明日、会社よりお知らせ致します。 ご迷惑をおかけし大変申し訳ございません。

2019-01-28 23:02:23
【公式】Peing-質問箱- @Peing_net

緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。

2019-01-28 21:35:28
特務機関NERV @UN_NERV

匿名質問サービス質問箱「Peing(ペイング) 」に脆弱性が見つかり、連携しているTwitterアカウントが乗っ取られたり、非公開ツイートやダイレクトメッセージを不正に取得されるおそれがあることがわかりました。解決方法は、Peingアプリの連携を解除することです。アプリ連携状況をご確認ください。

2019-01-28 21:52:26
特務機関NERV @UN_NERV

情報の訂正です。Peingアプリの権限は「読み取り」および「書き込みのみ」で、ダイレクトメッセージへのアクセス権は持っていないことがわかりました。そのため、ダイレクトメッセージを不正に取得もしくは送信されるおそれはありませんが、非公開ツイートを不正に取得されるおそれがあります。

2019-01-28 22:03:09

問題の概要

tkr @kgtkr

peingの脆弱性、ハッキングとか考えてなくてもすぐ見つかるレベルで簡単かつ単純で、しかもtokenを勝手に見れるという想像以上にやばい状況なので急いで連携解除しましょう

2019-01-28 21:26:46
国際信州学院大学 @kokushin_univ

今回の脆弱性の解説です。 影響範囲の大きい脆弱性ですので質問箱(peing)を利用したことがある方全員注意してください。 pic.twitter.com/grohTbRNIA

2019-01-29 00:37:44
拡大

以前からおもちゃにされていたが対応されていなかった?

杏仁マンゴーさん @f0reachARR

Peingの脆弱性、昨年10月時点で更に深刻なものがあり、それを使うと大勢の情報を一気に入手できた それ含めて今話題の脆弱性も報告したが修正されたのは一気に入手できるやつのみで、それ以降指摘するの面倒で放っていたのだけど燃えちゃったなあ

2019-01-28 21:13:12
杏仁マンゴーさん @f0reachARR

【拡散希望】#Peing には去年10月から脆弱性があり、あなたの個人情報が流出し、”Twitterアカウントが乗っ取られる可能性”があります。 対象となるアカウントは現段階で全てとなっています

2019-01-28 21:26:16
yagamuu @yagamuu

peingのやつ、数ヶ月前から見つかってるのに修正されてないってことは、多分報告したけど放置してたってことだよね…闇だ

2019-01-29 02:07:14
tkr @kgtkr

脆弱性を見つけたときはツイートせずにIPAなどに報告しましょう まあpeingは↓だったのではい twitter.com/f0reachARR/sta…

2019-01-28 22:02:24
杏仁マンゴーさん @f0reachARR

Peingの脆弱性、ちゃんと報告したのに多分内容まともに見られずに一部のみ修正になってて、結局炎上してるけれどもう僕は知らない

2019-01-28 21:17:23
Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

Peing は前からあった話のように思えますが何故か今日盛り上がっていましたね

2019-01-29 01:40:58

色々とやばい

ジュリー🍥 @hpvsm

Peingの件最初っからこんなの脆弱性有り有りって指摘してたんだよなー。使ってる人はTwitter向いてないよ。(煽り気味に)

2019-01-29 01:44:56
orangeitems @orangeitems_

もっと運営元が情報提供しないと、どんどん憶測が憶測を呼んでいる状況と思われます。 #はてなブログ Peing脆弱性案件に見る初動のまずさ - orangeitems’s diary orangeitems.com/entry/2019/01/…

2019-01-29 01:43:58
じゅんぽ @junpo_po

僕はセキュリティにこれからの希望を託そうと思う〜質問箱(Peing)の脆弱性から学べる事とこれから〜 - niconegoto Blog niconegoto.hatenadiary.jp/entry/2019/01/…

2019-01-29 01:43:20
( ・ᴗ・ )てるてる @teruteru_game22

Peingに脆弱性が見つかったからって公式Twitter乗っ取って注意喚起するの草でしょ すごすぎるわ

2019-01-29 01:37:09
プリン @Pudding_Peace

まあPeingに関しては初期の頃からヤバそうだなと思っていて(セキュリティ的にも体制的にも)買収された後こんなツイートしているのを見て確信に変わった。 twitter.com/Peing_net/stat…

2019-01-29 01:23:51
【公式】Peing-質問箱- @Peing_net

自粛中ですがこれだけは言わせてください。質問箱の中の人はイキリオタクです。

2018-01-20 13:12:28
杏仁マンゴーさん @f0reachARR

Peingの脆弱性で取得可能なものは、Twitterアクセス情報、登録メアド、暗号化済みパスワード、アクセス日時など

2019-01-28 21:23:00

周囲の反応

かりー @karirin_07

peingさんの脆弱性の内容がプログラミング一年生レベルで草生える サーバーサイドのModelをView側にマッピングする時は必要な情報だけに留めておかないとね 多分ライブラリ任せでカラムを列挙したわけじゃないからコード上で気付かなかったんだろうけど

2019-01-29 01:59:41
このツイートは権利者によって削除されています。
小判@忘れないあの日の歌と空 @asami_konno

peing脆弱性の件 これが本当ならさすがに開発者がダメすぎ…。なんで本人以外のアクセスクライアントにトークン返しちゃうん…。

2019-01-29 01:50:51
1 次へ

いま話題のタグ

アニメ47318 宝石の国106 ネットスラング122 メイドインアビス150 日本語1612 読書1330 プラモデル1842 腐女子726 ファッション3704 言語2180 週刊少年ジャンプ3493 ちいかわ402 マンガ41358 海外旅行1384 ファンタジー1634