匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚 44
ストーリー by hylom
これはひどい 部門より
これはひどい 部門より
あるAnonymous Coward曰く、
匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された(ITmedia)。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。
このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。
同サービスでは、以前より脆弱性問題が指摘されていたという。
なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表している(ITmedia)。
Peing 質問箱 のトップページにこの件の告知無し (スコア:2, 参考になる)
【Peing 質問箱 のトップページ】
https://peing.net/ja/ [peing.net]
Peing 質問箱 のトップページにこの件の告知が一切ありません。
この時点で非常に不誠実な対応といえます。
運営会社の株式会社ジラフのコーポレートサイトにはプレスリリースとして告知があります http://jiraffe.co.jp/ [jiraffe.co.jp] が、
普通のユーザはコーポレートサイトなんて見ません
Re:Peing 質問箱 のトップページにこの件の告知無し (スコア:1)
パク…もといインスピレーションを得たask.fmやサラハを
わざわざ公式hp上で使い方を紹介する体でディスるような運営さんですし
https://peing.net/ja/fxp/askfm [peing.net]
Re: (スコア:0)
とりあえず元開発者と運営会社は別なので
そこは認識したうえでよろしく
Re: (スコア:0)
こういうライバル会社を紹介して誘導するSEOやってるところたまに見かけるけど、
こんなのに金と時間を使う前に自分のところの紹介を詳しくしろよと。
Re:Peing 質問箱 のトップページにこの件の告知無し (スコア:1)
去年10月には報告受けてた [twitter.com]みたいだけど、一部のみ修正して今回の脆弱性は放置していたようですし、今回の対応でも一度直したけど直ってなかった [itmedia.co.jp]ってこともあったし、運営の体質が透けて見えますよね
Re: (スコア:0)
ユーザーじゃないので分からないのですが、メール等でのユーザーへの告知はあったんでしょうか?
Re: (スコア:0)
そしてピーピングになりましたと
Peingを使ってツイッターアカウントを乗っ取れる (スコア:2)
https://twitter.com/SensEsthetique/status/1089861301327646720 [twitter.com]
Peingを悪用するとツイッターアカウントを乗っ取り勝手にツイートができてしまうという脆弱性を示すためにPeing公式ツイッターアカウントをPeingを使って乗っ取り危険性を指摘したホワイトハッカー、偉い
Re: (スコア:0)
※普通に犯罪です
Re: (スコア:0)
ホワイトハッカーのホワイトって合法的って意味なんだっけ?
Re: (スコア:0)
意味は知りませんが、少なくとも自分が盲信した正義のためなら犯罪を行っても良い、と考えるのはホワイトハッカーでは無いのは確かかと
Re: (スコア:0)
いや、原義の確信犯(社会正義だと思って法律を無視する者)はホワイトハッカーに含まれるよ。こうでもしないと開き直って警察に通報したりして態度を改めない運営者が多すぎるから、そういう名前ができたんだよ。
酷いと現に被害が出てるのに通報者対応にむきになって、ついでに流出被害者まで叩き出したりするし。十年前くらいまで遡るとアメリカでもそういう事例が一杯出てくる。
Re: (スコア:0)
「ぼくちゃんがかんがえた」「って妄想してます」
って前後に付けた方がいい文章だな
何はともあれ、糞システム作ったアホも、正義の味方気取りで違法行為を誇る輩も、まとめて逮捕されるのが世の
Re: (スコア:0)
隊員の一人じゃないかな。女性かも。
Re: (スコア:0)
「ホワイトハッカー」の定義によって犯罪かどうかが変わるんですか?
Re: (スコア:0)
定義はどうあれ「自称」なんでしょ?
Re: (スコア:0)
他称だよ。犯人不明でしょ。
Re: (スコア:0)
良い目的でハックする、って意味じゃない?
やってることは違法だと思うけど。
そういう案件でまだ法的な問題として表に出てないからなぁ。
って、そっか、今回見つけた人を警察屋さんがどう扱うのか。
ハックされた企業側が逆ギレして訴えるかどうか、なのかな。
Re: (スコア:0)
泥棒に入られた被害者が犯人を訴える事を「逆ギレ」と表現する
法律を無視して、一方的に「良い目的」を認定する、こんな人たちのどこが「ホワイト」なのかな?
公的機関に通報するなり、メディアにタレ混むなり、い
Re: (スコア:0)
合法かどうかにはやたらこだわるけどそれが正しいかどうかについてはまったく考慮が及ばない人っているよね。
たぶん自分の中に何が正しいかの物差しがないから合法=正しいとしか考えられないんだろうね。
Re: (スコア:0)
教育が腐ってるからじゃないかと思ってんだけど、最近目につくよな。社会が先にあって個はその現状維持に尽くすべきみたいな発想してる経済のお荷物がさ。
Re: (スコア:0)
合法であることとブラック企業と呼ばれることは別ってのと同じかと
Re: (スコア:0)
ハッカーとは本来はコンピューターに精通した人の意味でした。
でも悪い事をする人もコンピューターに精通した人でもあったのでハッカーがいつの間にか悪者のように扱われました。
それだと困るので悪さをする人をクラッカーと呼ぶようにしました。
でも人々はまだハッカーは悪い人と使い続けた結果、ホワイトハッカーという言葉を使い始めました。
そのうち、ホワイトクラッカーという言葉が使われ、ハッカー自体も悪という言葉で定着しちゃいましたとさ
Re: (スコア:0)
公式ツイッターアカウントを乗っ取られていながら、Peingは「現段階において確認された具体的な被害はございません」と言っているわけか。
ツイッターアカウントの乗っ取りは認めてないよ (スコア:1)
公式は乗っ取ったホワイトハッカーのツイートを即ツイ消しして隠蔽して
ツイッターアカウントを乗っ取られを無かったことにしているようだよ
ちゃんとプロキシーやファイヤウォール使ってるのかな? (スコア:0)
こういう不正アクセスやるときって、プロのハッカーならダイナミックなIP、 システムのバグ、プロキシーやファイヤウォールを使って身元が発覚しないようにやるものだけど、この乗っ取りやった人はそういう対策ちゃんとやったのかな?
Re: (スコア:0)
わかんないんなら勉強してから書け
Re: (スコア:0)
分かってますよ、プロは「DNSサーバポートにマルウェア設置、デコイ送信! [togetter.com]」とかやって追跡を回避してるんですよね?
Re: (スコア:0)
闇プログラマー [togetter.com]なら常識だな!
その点Sradは最高だな (スコア:0)
ACで書き込んでもなんの問題もない。たぶん...
Re:その点Sradは最高だな (スコア:3, おもしろおかしい)
誰でもACに成りすませるぞ!
Re: (スコア:0)
ACに成りすましたつもりで実はログインしていた事を忘れていたという喜劇(悲劇?)もあるらしい。
Re: (スコア:0)
127.0.0.1も、Anonymous Cowardも、私が使用しています。
勝手に使わないでください。
Re:その点Sradは最高だな (スコア:1)
ちょこざいな。
127.0.0.1に対してハッキングを仕掛けてやる。震えて待ってろ。
Re: (スコア:0)
↑↑↑↑
お巡りさん、自殺予告です!!
Re: (スコア:0)
winnukeでwindows落とせた当時、外国人にお前のPC落としてやるからIPアドレス教えろと言われて、
127.0.0.1を教えたって話を思い出す
その外国人がwinnuke打とうとすると打った本人のPCが落ちるもんで、運がよかったな…とか言われたんだっけな
ハッシュ化されたパスワード? (スコア:0)
ツイッターのハッシュ済パスワードでしょうか。
TOKENとられて色々やられるのはわかるが、なんでこんなものまで取れるんだろ?
Re: (スコア:0)
「アクセストークンシークレット」って言葉を理解できなくて「ハッシュなんだからパスワードだろ」って思って「パスワードが盗まれました」って書いちゃってるんじゃない
Re: (スコア:0)
少なくともTwitterのAPIにパスワード関係を取得する機能はないな。
BASIC認証が使えた時代はいざ知らず、今はパスワードをアプリに持たせないためのOAuthなわけだし。
Re: (スコア:0)
Penig のパスワードでしょうね、 twitter のではなく。
メンテ中に家に帰れるけど家からツイートする会社 (スコア:0)
https://mobile.twitter.com/Peing_net/status/1089886408351698946 [twitter.com]
>詳細は明日、会社よりお知らせ致します。
この1文はなんだ
Re: (スコア:0)
そういうところも含めて若い会社なんだろうなあ (精神的な意味で)
仮想通貨交換業者の社員の意識が悪い意味で若くて、一番マシな会社ですらヤバい(意訳)という記事読んで思った
https://www.nikkei.com/article/DGXMZO40258770R20C19A1000000/ [nikkei.com]
こういうのって (スコア:0)
twitter 側で oauth クライアント の取り消しとかしないの。
作者のツイート (スコア:0)
質問箱を譲渡した人のツイート [twitter.com]でAPIキーの件に触れてるのがなんとも