JavaScriptを有効にして閲覧して下さい。
詳細検索

検索対象

まとめダネ!
【Peing】質問箱…

【Peing】質問箱に脆弱性 ツイッターを乗っ取られる恐れ アプリの解除方法は?

【Peing】質問箱に脆弱性 ツイッターを乗っ取られる恐れ アプリの解除方法は?

更新日: 2019年01月28日

【Peing】質問箱に脆弱性 ツイッターを乗っ取られる恐れ アプリの解除方法は?

特務機関NERV@UN_NERV

匿名質問サービス質問箱「Peing(ペイング) 」に脆弱性が見つかり、連携しているTwitterアカウントが乗っ取られたり、非公開ツイートやダイレクトメッセージを不正に取得されるおそれがあることがわかりました。解決方法は、Peingアプリの連携を解除することです。アプリ連携状況をご確認ください。

返信 リツイート

特務機関NERV@UN_NERV

情報の訂正です。Peingアプリの権限は「読み取り」および「書き込みのみ」で、ダイレクトメッセージへのアクセス権は持っていないことがわかりました。そのため、ダイレクトメッセージを不正に取得もしくは送信されるおそれはありませんが、非公開ツイートを不正に取得されるおそれがあります。

返信 リツイート

とれいんふぉ +@Trainfo_Update

【デマに注意】ダイレクトメッセージは見られることはありません。 #Peing https://t.co/lBHoCbpAEK

返信 リツイート

杉田賢人🚴Goエンジニア@sugiken_bike

@UN_NERV @scss_coma その書き方だと非公開にしていない人が問題ないようにも見えますが、同じく危険な状態で、取得だけでなくツイートやいいね、ツイッター名の変更やプロフィールの書き換えも可能だと思います
いずれにせよ連携解除は必須です
(揚げ足を取る感じですみません😓)

画像はTwitter APIの権限選択画面 https://t.co/1CFy6IrZQp

返信 リツイート

Peing-質問箱-(公式)@Peing_net

緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。

返信 リツイート

まき@ちあ民🍟@R族@浜辺美波@maki_2001_1204

@Peing_net Peingさん焦りすぎてるのか
「メンテナンス」を「メンテナス」って言ってるし画面は2018.12.10やから過去のやつやし笑

返信 リツイート

伊藤@a7i_

DMは仕様で表示されませんがメアドまでは取得されますよ〜 いずれにせよ連携解除した方が吉ですね

返信 リツイート

しょうポチ@209harrison

Peing-質問箱-含め、アプリ連携解除(スマホ版) #拡散希望

・スマホのブラウザでTwitterにログイン
・「設定とプライバシー」→「アカウント」→「アプリとセッション」から該当のアプリを選択して、連携解除 https://t.co/RYBeUUynWg

返信 リツイート

ソースにトークン書いてたとかありえない

tkr@kgtkr

peingの脆弱性
1.トークンほしい人のユーザーページ開きます
2.F12押します
3.生トークンが載ってます
以上

返信 リツイート

tkr@kgtkr

ずっとこれなのに今まで気づかれなかったのが逆にすごいと思う

返信 リツイート

tkr@kgtkr

買収以前はこんな脆弱性ありませんでした
元開発者のせせりさんは悪くないのでそこだけ

返信 リツイート

tkr@kgtkr

脆弱性を見つけたときはツイートせずにIPAなどに報告しましょう
まあpeingは↓だったのではい
https://t.co/MQwHIsgKko

返信 リツイート

常務@jyomu__

@kgtkr 確認なんだけどトークンってAPIで操作するためのキーみたいなやつやんな?

返信 リツイート

常務@jyomu__

@kgtkr どういう設計したらそうなるのか後学のために教えて欲しいんだけど公開ページにトークンって何ら必要ない気が

返信 リツイート

マンゴーさん@f0reachARR

Peingの脆弱性、ちゃんと報告したのに多分内容まともに見られずに一部のみ修正になってて、結局炎上してるけれどもう僕は知らない

返信 リツイート

tkr@kgtkr

メンテ始まったので流石に修正されないままメンテ終わることはないだろうしもう悪用できないから https://t.co/A3llOOJrMb

返信 リツイート

赤い彗星の鬼丸さん@wbcchsyn

@kgtkr 恐らく、設計レベルで良くないですよね。でも、サービス提供者は根本解決や詳細な調査をせずに、とりあえずこの画面だけ修正してサービスを再開するかもしれません。

最悪の場合は、次々と似たような脆弱性が出てくるかも。

私はしばらくの間このアプリのアクセス権を外して様子を見ます。

返信 リツイート

tkr@kgtkr

@wbcchsyn このレベルの脆弱性生むってかなりだと思うからそれがいいと思う

返信 リツイート

1
  • follow us in feedly

コメントを投稿する

名前
本文(必須)

※コメントの番号の前に「>>」をつけると、そのコメントに返信できます(例:>>1)