パスワードを忘れた? アカウント作成
13827760 story
セキュリティ

匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 44

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された(ITmedia)。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表しているITmedia)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年01月31日 19時12分 (#3557711)

    【Peing 質問箱 のトップページ】
    https://peing.net/ja/ [peing.net]

    Peing 質問箱 のトップページにこの件の告知が一切ありません。
    この時点で非常に不誠実な対応といえます。

    運営会社の株式会社ジラフのコーポレートサイトにはプレスリリースとして告知があります http://jiraffe.co.jp/ [jiraffe.co.jp] が、
    普通のユーザはコーポレートサイトなんて見ません

  • https://twitter.com/SensEsthetique/status/1089861301327646720 [twitter.com]

    Peingを悪用するとツイッターアカウントを乗っ取り勝手にツイートができてしまうという脆弱性を示すためにPeing公式ツイッターアカウントをPeingを使って乗っ取り危険性を指摘したホワイトハッカー、偉い

    • by Anonymous Coward

      ※普通に犯罪です

      • by Anonymous Coward

        ホワイトハッカーのホワイトって合法的って意味なんだっけ?

        • by Anonymous Coward

          意味は知りませんが、少なくとも自分が盲信した正義のためなら犯罪を行っても良い、と考えるのはホワイトハッカーでは無いのは確かかと

          • by Anonymous Coward

            いや、原義の確信犯(社会正義だと思って法律を無視する者)はホワイトハッカーに含まれるよ。こうでもしないと開き直って警察に通報したりして態度を改めない運営者が多すぎるから、そういう名前ができたんだよ。

            酷いと現に被害が出てるのに通報者対応にむきになって、ついでに流出被害者まで叩き出したりするし。十年前くらいまで遡るとアメリカでもそういう事例が一杯出てくる。

            • by Anonymous Coward

              「ぼくちゃんがかんがえた」「って妄想してます」
              って前後に付けた方がいい文章だな

              何はともあれ、糞システム作ったアホも、正義の味方気取りで違法行為を誇る輩も、まとめて逮捕されるのが世の

        • by Anonymous Coward

          隊員の一人じゃないかな。女性かも。

        • by Anonymous Coward

          「ホワイトハッカー」の定義によって犯罪かどうかが変わるんですか?

          • by Anonymous Coward

            定義はどうあれ「自称」なんでしょ?

            • by Anonymous Coward

              他称だよ。犯人不明でしょ。

        • by Anonymous Coward

          良い目的でハックする、って意味じゃない?
          やってることは違法だと思うけど。
          そういう案件でまだ法的な問題として表に出てないからなぁ。
          って、そっか、今回見つけた人を警察屋さんがどう扱うのか。
          ハックされた企業側が逆ギレして訴えるかどうか、なのかな。

          • by Anonymous Coward

            泥棒に入られた被害者が犯人を訴える事を「逆ギレ」と表現する
            法律を無視して、一方的に「良い目的」を認定する、こんな人たちのどこが「ホワイト」なのかな?

            公的機関に通報するなり、メディアにタレ混むなり、い

            • by Anonymous Coward

              合法かどうかにはやたらこだわるけどそれが正しいかどうかについてはまったく考慮が及ばない人っているよね。

              たぶん自分の中に何が正しいかの物差しがないから合法=正しいとしか考えられないんだろうね。

              • by Anonymous Coward

                教育が腐ってるからじゃないかと思ってんだけど、最近目につくよな。社会が先にあって個はその現状維持に尽くすべきみたいな発想してる経済のお荷物がさ。

        • by Anonymous Coward

          合法であることとブラック企業と呼ばれることは別ってのと同じかと

      • by Anonymous Coward

        ハッカーとは本来はコンピューターに精通した人の意味でした。
        でも悪い事をする人もコンピューターに精通した人でもあったのでハッカーがいつの間にか悪者のように扱われました。
        それだと困るので悪さをする人をクラッカーと呼ぶようにしました。
        でも人々はまだハッカーは悪い人と使い続けた結果、ホワイトハッカーという言葉を使い始めました。
        そのうち、ホワイトクラッカーという言葉が使われ、ハッカー自体も悪という言葉で定着しちゃいましたとさ

    • by Anonymous Coward

      公式ツイッターアカウントを乗っ取られていながら、Peingは「現段階において確認された具体的な被害はございません」と言っているわけか。

    • こういう不正アクセスやるときって、プロのハッカーならダイナミックなIP、 システムのバグ、プロキシーやファイヤウォールを使って身元が発覚しないようにやるものだけど、この乗っ取りやった人はそういう対策ちゃんとやったのかな?

  • by Anonymous Coward on 2019年01月31日 19時06分 (#3557709)

    ACで書き込んでもなんの問題もない。たぶん...

    • Re:その点Sradは最高だな (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2019年01月31日 19時59分 (#3557742)

      誰でもACに成りすませるぞ!

      親コメント
      • by Anonymous Coward

        ACに成りすましたつもりで実はログインしていた事を忘れていたという喜劇(悲劇?)もあるらしい。

    • by Anonymous Coward

      127.0.0.1も、Anonymous Cowardも、私が使用しています。
      勝手に使わないでください。

      • by Anonymous Coward on 2019年01月31日 20時02分 (#3557745)

        ちょこざいな。
        127.0.0.1に対してハッキングを仕掛けてやる。震えて待ってろ。

        親コメント
        • by Anonymous Coward

          ↑↑↑↑
          お巡りさん、自殺予告です!!

        • by Anonymous Coward

          winnukeでwindows落とせた当時、外国人にお前のPC落としてやるからIPアドレス教えろと言われて、
          127.0.0.1を教えたって話を思い出す
          その外国人がwinnuke打とうとすると打った本人のPCが落ちるもんで、運がよかったな…とか言われたんだっけな

  • by Anonymous Coward on 2019年01月31日 22時39分 (#3557806)

    ツイッターのハッシュ済パスワードでしょうか。
    TOKENとられて色々やられるのはわかるが、なんでこんなものまで取れるんだろ?

    • by Anonymous Coward

      「アクセストークンシークレット」って言葉を理解できなくて「ハッシュなんだからパスワードだろ」って思って「パスワードが盗まれました」って書いちゃってるんじゃない

    • by Anonymous Coward

      少なくともTwitterのAPIにパスワード関係を取得する機能はないな。
      BASIC認証が使えた時代はいざ知らず、今はパスワードをアプリに持たせないためのOAuthなわけだし。

    • by Anonymous Coward

      Penig のパスワードでしょうね、 twitter のではなく。

  • by Anonymous Coward on 2019年01月31日 23時53分 (#3557827)

    https://mobile.twitter.com/Peing_net/status/1089886408351698946 [twitter.com]
    >詳細は明日、会社よりお知らせ致します。

    この1文はなんだ

  • by Anonymous Coward on 2019年02月01日 11時19分 (#3558010)

    twitter 側で oauth クライアント の取り消しとかしないの。

  • by Anonymous Coward on 2019年02月04日 10時34分 (#3559450)

    質問箱を譲渡した人のツイート [twitter.com]でAPIキーの件に触れてるのがなんとも

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...