こちらの記事の続きです。
目次
29日20時44分、再度メンテナンス実施
一部問題があることがわかり、再度メンテナンスを実施いたします。
さっそく多くのユーザ様にご利用いただいていたにも関わらず、申し訳ありません。
本日中に対応できるよう、取り組んでおります。
恐縮ではございますが、今しばらくお時間をください。— Peing-質問箱-(公式) (@Peing_net) 2019年1月29日
29日22時41分、メンテナンス終了日時が「近日中」に
問題の対応を進めておりますが、網羅的な確認、専門企業による確認などの対応を行い、より安全な状態でサービスをご提供したいと考えています。
そのため本日のメンテナンス終了を延期し明日改めて再開のスケジュールをご提示させてください。
早期に復活いたしますので、どうぞ宜しくお願い致します。— Peing-質問箱-(公式) (@Peing_net) 2019年1月29日
メンテナンスの延長が続き、ユーザの皆様に多大なるご心配、ご迷惑をおかけしており、申し訳ございません。
本問題の改修も含め、より安全で魅力的なサービスとしてご利用いただけるよう務めます。
本件の一連の問題に関し、重ねてお詫び申し上げます。— Peing-質問箱-(公式) (@Peing_net) 2019年1月29日
30日15時40分、30日中のサービス再開を表明
状況についてユーザ様にお知らせいたします。
現在、すべてのリソースを使いPeingの安全性確保をしたうえでの再開を目指し、網羅的なチェックをしております。
本日中に再度メンテナンスを終了しサービスをお届けするつもりで当たっております。
お待たせしており申し訳ありません。— Peing-質問箱-(公式) (@Peing_net) 2019年1月30日
30日23時59分、30日中のサービス再開を断念
状況についてご報告いたします。
改修作業が完了いたしましたが、現在の時間から再開した場合、不測の事態に対応することができないため、明日あらためてメンテナンスを終了し、サービスを再開させていただきます。
サービス提供まで時間がかかり、申し訳ございません。— Peing-質問箱-(公式) (@Peing_net) 2019年1月30日
ツイッター上の反応
アプリ連携解除を推奨
匿名質問サービス質問箱「Peing(ペイング) 」に脆弱性が見つかり、連携しているTwitterアカウントが乗っ取られたり、非公開ツイートやダイレクトメッセージを不正に取得されるおそれがあることがわかりました。解決方法は、Peingアプリの連携を解除することです。アプリ連携状況をご確認ください。
— 特務機関NERV (@UN_NERV) 2019年1月28日
情報の訂正です。Peingアプリの権限は「読み取り」および「書き込みのみ」で、ダイレクトメッセージへのアクセス権は持っていないことがわかりました。そのため、ダイレクトメッセージを不正に取得もしくは送信されるおそれはありませんが、非公開ツイートを不正に取得されるおそれがあります。
— 特務機関NERV (@UN_NERV) 2019年1月28日
Peing-質問箱-含め、アプリ連携解除(スマホ版) #拡散希望
・スマホのブラウザでTwitterにログイン
・「設定とプライバシー」→「アカウント」→「アプリとセッション」から該当のアプリを選択して、連携解除 pic.twitter.com/RYBeUUynWg— しょうポチ (@209harrison) 2019年1月28日
メールアドレスも流出の可能性
peing使ったことないけど使ってる人沢山いたよね、脆弱性からキー漏れてアカウント乗っ取られてるし、乗っ取った奴が解除しろ言ってんだから連携してるユーザーの情報とれてんだろうね
アプリ認証とかよく知らんけどoauthだったらユーザーのメールアドレスとかは取得できるし pic.twitter.com/Wc6nRWdXHT— にし (@cidr_cuckooo) 2019年1月28日
Peingの脆弱性で取得可能なものは、Twitterアクセス情報、登録メアド、暗号化済みパスワード、アクセス日時など
— マンゴーさん@広告クリックお願いします (@f0reachARR) 2019年1月28日
非公開アカウントのタイムラインも読まれてしまう
【peingの脆弱性で何が危険か】
・勝手にツイートをすることが出来る
・アカウントのタイムラインを読める(特に鍵アカは注意)
【大丈夫なもの】
・パスワード
・ダイレクトメッセージの中身
・その他
【やるべきこと】
アプリ連携を解除する(設定とプライバシー→アカウント→アプリセッション)— えもんが🍁♨ (@emolga587) 2019年1月28日
気づかれたのが遅い
peingの脆弱性
1.トークンほしい人のユーザーページ開きます
2.F12押します
3.生トークンが載ってます
以上— tkr (@kgtkr) 2019年1月28日
ずっとこれなのに今まで気づかれなかったのが逆にすごいと思う
— tkr (@kgtkr) 2019年1月28日
脆弱性の解説
【情報基盤センターからのお知らせ】
質問箱(peing)に脆弱性が発見されたそうです。
アカウントの操作に必要な情報を他人のアカウントから容易に取得でき、悪用すると他人のアカウントからツイートやメールアドレスの取得などが可能で乗っ取りの危険性があります。
しばらくの間、連携解除を推奨します— 国際信州学院大学 (@kokushin_univ) 2019年1月28日
今回の脆弱性の解説です。
影響範囲の大きい脆弱性ですので質問箱(peing)を利用したことがある方全員注意してください。 pic.twitter.com/grohTbRNIA— 国際信州学院大学 (@kokushin_univ) 2019年1月28日
去年の10月にすでに脆弱性は指摘されていた
Peingの脆弱性、昨年10月時点で更に深刻なものがあり、それを使うと大勢の情報を一気に入手できた
それ含めて今話題の脆弱性も報告したが修正されたのは一気に入手できるやつのみで、それ以降指摘するの面倒で放っていたのだけど燃えちゃったなあ
— マンゴーさん@広告クリックお願いします (@f0reachARR) 2019年1月28日
Peingの脆弱性、10月にあったものは100名単位でトークン、ユーザ情報が取得可能だった
— マンゴーさん@広告クリックお願いします (@f0reachARR) 2019年1月28日
Peingの脆弱性は数ヶ月前に自分も報告したが、結局放置された挙げ句今になって大騒ぎしている。
— madAdelie (@madAdelie) 2019年1月28日
IPAに報告しても、まともな対応とるところ少ない
脆弱性見つける度に、社会人の責任としてちゃんとIPAに報告してるけど。
まともな対応とるところ少ない。で、流出して炎上しても「もう知らんよ」という無力感だけが残る。
なんかいい仕組みが必要。
— れい(どんぐり農家) (@rei_software) 2019年1月28日
脆弱性っぽいものを見つけても、それ以上試すことが出来ないので、「疑わしい」という段階で報告しないといけないのも、対応が適当になる一因かもしれない。
— れい(どんぐり農家) (@rei_software) 2019年1月28日
IPAとは「独立行政法人 情報処理推進機構」の略称です。
こちらのページから脆弱性関連情報の届出ができます。
→脆弱性関連情報の届出受付:IPA 独立行政法人 情報処理推進機構
早く質問したい
質問したい人がおるのに、質問箱メンテ長過ぎる件な!!!(💢^_^)
— おーちゃん@わかめ (@4s9BZarlBi6D7lb) 2019年1月29日
早くしてよ!
質問したいんだけど!— 笑い袋 (@waraibukuro3114) 2019年1月29日
延期のプロ
延期のプロやん 終わるの待ってるで
— ダウン中 (@arakiri45) 2019年1月29日
マシュマロのユーザーが急増
Peingのサービス停止により、競合の「マシュマロ」のユーザーが急増している模様です。
いま話題の、登録したユーザーのほぼ全てが乗っ取り可能になってしまった脆弱性のことでしょうか?
それと同様の脆弱性はマシュマロにはありませんので、ご安心ください。#マシュマロを投げ合おうhttps://t.co/d4RXLzGS9C pic.twitter.com/niOXFlLXny— マシュマロ公式 (@marshmallow_qa) 2019年1月29日
でも完全にミスのないシステムというのは存在しないので、もしかしたら全く別の脆弱性はあるかもしれません。
もし別の脆弱性を発見したら、こっそり教えてください。
すぐに対応します。— マシュマロ公式 (@marshmallow_qa) 2019年1月29日
現在マシュマロのユーザーが急増しています。
脆弱性よりもサーバーが不安です。
今はまだ全然余裕がありますが、もし今夜あたりにマシュマロが重くなっていたらそういうことなんだと思ってください。— マシュマロ公式 (@marshmallow_qa) 2019年1月29日
気にせずお使いください!
それにまだサーバーには余裕があります!たぶん!#マシュマロを投げ合おうhttps://t.co/d4RXLzGS9C pic.twitter.com/WENgvtPJQ2— マシュマロ公式 (@marshmallow_qa) 2019年1月29日
夜になって劇的にユーザーが増えるということはなかったので、サーバー的にも問題なさそうです。
マシュマロちゃんは元気です。
ご心配をおかけして申し訳ございません。— マシュマロ公式 (@marshmallow_qa) 2019年1月29日
なお報告が遅すぎてマシュマロに移住したヤツがいっぱいいるってな
滑稽極まりない
— のわかすにゃん (@nowakas114514) 2019年1月29日