「Peing-質問箱-」の登録メールアドレス149万7967件が漏えい

　セキュリティ上の問題が発生したことからメンテナンスを実施し、1月31日にサービスを再開した匿名質問サービス「Peing -質問箱-」だが、同日発表された「Peing-質問箱-における情報漏洩についてお詫びとご説明（第二報）」によれば、同サービスに登録されたメールアドレスが最大で149万7967件、ハッシュ化されたパスワードは94万9480件漏えいした可能性があるという。

　Peing内の情報で漏えいしたものは以下の通り

・トークン
・トークンシークレット
・Peingに登録したメールアドレス
・ハッシュ化されたPeingのパスワード
・salt※
・デバイストークン

※パスワードを暗号化する際に付与されるデータ

　また、Peingと連携した他サービスにおいて漏えいした情報は以下の通り（連携した場合のみ）

・Twitter
Twitterに登録したメールアドレス
OAuth アクセストークン
OAuthアクセスシークレット
OAuth コンシューマーキー
OAuth コンシューマーシークレット

・Instagram
OAuth アクセストークン

・Google
OAuth アクセストークン
OAuth id_token
Google アカウント名（メールアドレス）
Googleに登録した氏名

・Facebook
OAuth アクセストークン
アカウント名
氏名
プロフィール写真
メールアドレス

　Peingを運営する株式会社ジラフによれば、ハッシュ化されたパスワードは、同時に漏えいしたsalt情報と合わせて特定の方法を用いて解析することが理論上可能な状況となっていたが、「一般的に容易な方法では解析不可能」であり、現段階において確認された具体的な被害はないとしている。

　Peing、またはPeing連携先のサービスである、Twitter、Instagram、Google、Facebookと同一のメールアドレス、パスワードを使い回している場合は、連携先のサービスでログインパスワードを変更するよう注意を呼び掛けている。

「Peing-質問箱-における情報漏洩についてお詫びとご説明（第二報）」より