ニュース
匿名質問サービス「Peing」がサービス再開、第三者がなりすましツイートできる問題などでメンテ繰り返す
登録メールアドレスやパスワードを使い回している場合は変更を
2019年1月31日 12:40
メンテナンスに長時間になってしまいましたが、すでにご指摘を頂いておりました箇所の修正に加え、各API、ページを網羅的に確認し、安全にサービスがご提供できる状態になったと判断いたしました。
— Peing-質問箱-(公式) (@Peing_net)2019年1月31日
よって、12:40よりサービスを再開させていただきます。
匿名質問サービス「Peing -質問箱-」にセキュリティ上の問題が発生し、メンテナンスが実施されていたが、1月31日12時40分よりサービスを再開した。
同サービスを運営する株式会社ジラフによると、同月28日18時にユーザーからの問い合わせにより社内調査を行った結果、セキュリティ上の脆弱性が判明した。Peingを利用するTwitteユーザーのAPIトークンを第三者が取得できる状態になっていた。
29日19時ごろに「検知されていた問題は全て解決」したということで一度メンテナンスを終了したものの、「一部問題がある」ことが判明したため再度メンテナンスを実施した。
一部問題があることがわかり、再度メンテナンスを実施いたします。
— Peing-質問箱-(公式) (@Peing_net)2019年1月29日
さっそく多くのユーザ様にご利用いただいていたにも関わらず、申し訳ありません。
本日中に対応できるよう、取り組んでおります。
恐縮ではございますが、今しばらくお時間をください。
脆弱性を悪用されることで、Peingに登録されたユーザーのメールアドレスやハッシュ化されたパスワードの閲覧のほか、Twitterに登録されているメールアドレスの閲覧、過去のツイート情報の閲覧(非公開ツイート含む)や書き込み、相手先を指定したダイレクトメッセージの送付などが可能な状態になっていたという。
ハッシュ化されたパスワードについては、「相応な環境と時間をかけて特定のユーザー様のパスワードを調べることが理論上不可能ではありません」という。そのため、登録されたメールアドレスやアカウント名、パスワードを他のウェブサービスでも使い回している場合は変更するよう注意を促している。
