質問箱「Peing(ペイング)」で脆弱性でトークンが簡単に見れる状態になっていたことが判明…
緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。
— Peing-質問箱-(公式) (@Peing_net) Jan 28, 2019
匿名質問サービス質問箱「Peing(ペイング) 」に脆弱性が見つかり、連携しているTwitterアカウントが乗っ取られたり、非公開ツイートやダイレクトメッセージを不正に取得されるおそれがあることがわかりました。解決方法は、Peingアプリの連携を解除することです。アプリ連携状況をご確認ください。
— 特務機関NERV (@UN_NERV) Jan 28, 2019
情報の訂正です。Peingアプリの権限は「読み取り」および「書き込みのみ」で、ダイレクトメッセージへのアクセス権は持っていないことがわかりました。そのため、ダイレクトメッセージを不正に取得もしくは送信されるおそれはありませんが、非公開ツイートを不正に取得されるおそれがあります。
— 特務機関NERV (@UN_NERV) Jan 28, 2019
僕がよく使用するpeing質問箱に脆弱性が発見され、容易にアカウント情報を盗られる可能性があるので、使用している方は一時的に連携解除を推奨します。
— ほっしゃん@通りすがりの高校生 (@hossyan_0223) Jan 28, 2019
#peing質問箱 https://t.co/MqXWkpBU0B
スポンサーリンク
スポンサーリンク
peing使ったことないけど使ってる人沢山いたよね、脆弱性からキー漏れてアカウント乗っ取られてるし、乗っ取った奴が解除しろ言ってんだから連携してるユーザーの情報とれてんだろうね
— にし (@cidr_cuckooo) Jan 28, 2019
アプリ認証とかよく知らんけどoauthだったらユーザーのメールアドレスとかは取得できるし
peingの脆弱性でpeing公式垢のkey流出して乗っ取られてんのうける
— tkr (@kgtkr) Jan 28, 2019
善意の乗っ取り
— tkr (@kgtkr) Jan 28, 2019
peingツイ消し
— tkr (@kgtkr) Jan 28, 2019
爆笑してる
— tkr (@kgtkr) Jan 28, 2019
魚拓とってねぇ
— tkr (@kgtkr) Jan 28, 2019
まとめ
— tkr (@kgtkr) Jan 28, 2019
・とにかく急いでpeingnの連携解除しろ
以上
スポンサーリンク
スポンサーリンク
peingの脆弱性、ハッキングとか考えてなくてもすぐ見つかるレベルで簡単かつ単純で、しかもtokenを勝手に見れるという想像以上にやばい状況なので急いで連携解除しましょう
— tkr (@kgtkr) Jan 28, 2019
もうメンテになったし方法公開しちゃっていいんじゃね…
— tkr (@kgtkr) Jan 28, 2019
peingの脆弱性
— tkr (@kgtkr) Jan 28, 2019
1.トークンほしい人のユーザーページ開きます
2.F12押します
3.生トークンが載ってます
以上
ずっとこれなのに今まで気づかれなかったのが逆にすごいと思う
— tkr (@kgtkr) Jan 28, 2019
もう焦りまくってて草 twitter.com/Peing_net/stat…
— tkr (@kgtkr) Jan 28, 2019
買収以前はこんな脆弱性ありませんでした
— tkr (@kgtkr) Jan 28, 2019
元開発者のせせりさんは悪くないのでそこだけ
流石に悪用が簡単すぎて危ないので絶対公開するなみたいな感じだったけど今日他の人が見つけちゃってツイートしてしまったのでもう注意喚起拡散するしかないよねっていう
— tkr (@kgtkr) Jan 28, 2019
スポンサーリンク
スポンサーリンク
メンテ始まったので流石に修正されないままメンテ終わることはないだろうしもう悪用できないから twitter.com/potato4d/statu…
— tkr (@kgtkr) Jan 28, 2019
風評被害やめろ
— tkr (@kgtkr) Jan 28, 2019
ユーザー情報を尋ねたらご丁寧にトークンまで教えてくれる() twitter.com/TK_hijiri/stat…
— tkr (@kgtkr) Jan 28, 2019
@syazai_giin 緊急メンテ確認して方法ツイートしたのでまあはい。。
— tkr (@kgtkr) Jan 28, 2019
@silmin_ 他の人がツイートする→他の人が消させる→なんか微妙に噂始まる→連携切れとだけツイート→peing公式垢が乗っ取られたりして炎上→メンテ始まる→もう悪用できないので方法公開
— tkr (@kgtkr) Jan 28, 2019
@ovrnit 勝手にツイート
— tkr (@kgtkr) Jan 28, 2019
フォロー
フォローしている鍵垢のツイートを見る
などなど
Peingの平文トークン芸
— RAO(らお) (@RIORAO) Jan 28, 2019
P「ユーザーデーターの塊(Twitterで読み書き権を得るためのトークン含む)…皆が見える場所に置いてもバレへんか……」
発見者「直して!(サポートメール)」
P「ほい(平文トークン直らず)」
ホワイトハッカー「脆弱性あり。どうか早急な対応を(公式垢乗っ取って発言)」
@RIORAO ホワイトハッカーの意味がちょっと違うのでは...
— tomotomo (@tomocrafter) Jan 28, 2019
スポンサーリンク
スポンサーリンク
この記事に問題があると考えた場合、こちらから作者様にご連絡をお願いします。