匿名質問サービス「Peing」にまた重大な脆弱性(?)が見つかりおもちゃにされかける

こめ @come25136

Peingのやつ多分DBそのまま返してるよね

いっちゃんとか、ヒロとかは健康になりたい @ichgw

Peing燃やすよりもマシュマロ焼いた方がうまいぞ

masa* 🐶💙🍡🐽🎈💛 @ma_masa0506

F12押してトークンとか情報を閲覧できるのってpeingに限った話じゃないからなぁ… 結構色んなサービスでみれるやつが多いんだよなぁ なんかもう今更感

ジュントニー @nzk_tony

peingさんシークットトークン(丸見え)は流石に草

ミヒャエル@療養中 @mihyaeru21

Peingの件、Access Tokenが流出したっぽいけど、Consumer Secretはさすがに流出してないだろうし、Access Tokenを入手しても何もできないのでは。

K2ルカ @kapi__x

Peingの脆弱性どんなんか見てたけどえぐくない？

KEEL_210 @jdatmtjp

peing生トークン公開マジ？

みのすけ @4voltex

トークン丸見えだったからipアドレスも筒抜けだったし、なんならIPv4とIPv6の区別もできてた。Twitter連携してなくても質問箱ユーザーならid乗ってたから辿れてた。 #peing

こま @koma_jp

あれ？peingってもともと個人の開発者が作ったのをどっかの会社が買収したんじゃなかったっけ。買収のタイミングでちゃんとセキュリティ監査しなかった会社も悪いけど、まあ運が悪いやね。個人開発のサービスなんかセキュリティゆるゆるなのが常なので…

nek914 @nek914

Peing の件、公開可能な User テーブルを SELECT(*) して JSON にしてたがアクセスが増えて負荷を下げたいが為に複雑な SQL文を発行しないように access_token やメールアドレス等が入っている Social テーブルを合わせてしまった。ということ😓？

s-dual @s_dual

PeingってDBからデータ引くときにORMとかに任せっきりで全部引いてたってことなの？

ogiwara @designpatterngf

今回のPeingの件、非エンジニア向けの解説ブログ作ったら？

新羅 @strea37

Peing，トークン掘られるのはなかなかヤバいですね…

Kaede Higuchi 1stLIVE "KANA-DERO" @Im_Ushigome

PeingでTwitterが乗っ取られるかもしれない危険性はなくなった Pringのconsumerkeyが失効したのでaccesstokenが使えない(自分のトークンで確認済) accesstokenが変更されないとconsumerkeyが漏れると使えてしまうのでメンテ明けにconsumerkeyが漏れないと良いね pic.twitter.com/gJaTYvflBa

拡大

田村奏天（タムラカナメ） @play_the_sky

peing、どうやら虚弱性が指摘されたみたいで、前々から言われていたし流石に直ったかと思ったら何故か改良せずpeing公式が乗っ取られる事案にまで発展しているようなので流石に身の危険を感じ、質問箱をやめました……

ひろ氏 @Tinder_Hiroshi

peingの脆弱性、それもはや脆弱性やない欠陥やろっちゅーレベルで呆れてしまうね……むしろよく今まで見つからなかったな。

(=^x^=) @kanitarow_

peing脆弱性で学ぶWebプログラミングしてる

SttyK (してぃーきっず) @SttyK

Peingが盛り上がってるけどもうみんな投げ銭サービスのOsushiのこと忘れてたでしょ？