【Peing】質問箱にの脆弱性「公開ページにトークン書いてあった」「去年の10月から漏れてた？」 : まとめダネ！

【Peing】質問箱にの脆弱性「公開ページにトークン書いてあった」「去年の10月から漏れてた？」

Peing-質問箱-(公式)@Peing_net

緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。

2019.01.28 21:35:28

Peing-質問箱-(公式)(@Peing_net)さん | Twitter

https://twitter.com/Peing_net

Peing-質問箱-(公式) (@Peing_net)さんの最新ツイート。匿名で質問ができるPeing(ペイング) 質問箱📦の公式アカウントです。誰でも簡単に5秒で開設できます。✨最新✨の情報を🏃🏻‍♀️最速🏃🏻‍♀️でお届け！

まき@ちあ民🍟@R族@浜辺美波@maki_2001_1204

@Peing_net Peingさん焦りすぎてるのか
「メンテナンス」を「メンテナス」って言ってるし画面は2018.12.10やから過去のやつやし笑

2019.01.28 21:39:08

トークン公開してたらしい

tkr@kgtkr

peingの脆弱性
1.トークンほしい人のユーザーページ開きます
2.F12押します
3.生トークンが載ってます
以上

2019.01.28 21:33:56

tkr@kgtkr

ずっとこれなのに今まで気づかれなかったのが逆にすごいと思う

2019.01.28 21:36:01

tkr@kgtkr

買収以前はこんな脆弱性ありませんでした
元開発者のせせりさんは悪くないのでそこだけ

2019.01.28 21:47:51

tkr@kgtkr

脆弱性を見つけたときはツイートせずにIPAなどに報告しましょう
まあpeingは↓だったのではい
t.co/MQwHIsgKko

2019.01.28 22:02:24

tkr@kgtkr

@jyomu__ 俺も分からん
頭おかしい

@jyomu__ yes

@kgtkr 確認なんだけどトークンってAPIで操作するためのキーみたいなやつやんな？

2019.01.28 21:36:13

常務@jyomu__

@kgtkr どういう設計したらそうなるのか後学のために教えて欲しいんだけど公開ページにトークンって何ら必要ない気が

2019.01.28 21:35:19

マンゴーさん@f0reachARR

Peingの脆弱性、ちゃんと報告したのに多分内容まともに見られずに一部のみ修正になってて、結局炎上してるけれどもう僕は知らない

2019.01.28 21:17:23

tkr@kgtkr

メンテ始まったので流石に修正されないままメンテ終わることはないだろうしもう悪用できないから t.co/A3llOOJrMb

2019.01.28 21:56:52

赤い彗星の鬼丸さん@wbcchsyn

@kgtkr 恐らく、設計レベルで良くないですよね。でも、サービス提供者は根本解決や詳細な調査をせずに、とりあえずこの画面だけ修正してサービスを再開するかもしれません。

最悪の場合は、次々と似たような脆弱性が出てくるかも。

私はしばらくの間このアプリのアクセス権を外して様子を見ます。

2019.01.28 22:10:28

tkr@kgtkr

@wbcchsyn このレベルの脆弱性生むってかなりだと思うからそれがいいと思う

2019.01.28 22:11:25

いか🌗[🌱,🍓,🌸, 🍬🎶].forEach(listen);@im_cuttlefish

@kgtkr !?　もんのすげえガバさだ……

2019.01.28 21:52:58

国見小道@mstdn.komittee.net@kunimi_komichi

お前ら！アプリ連携確認の時間だ！トークン漏れ発覚したから速攻でPeingの連携を解除だ！

2019.01.28 22:27:37

RAO(らお)@RIORAO

Peingの平文トークン芸

P「ユーザーデーターの塊（Twitterで読み書き権を得るためのトークン含む）…皆が見える場所に置いてもバレへんか……」
発見者「直して！（サポートメール）」
P「ほい（平文トークン直らず）」
ホワイトハッカー「脆弱性あり。どうか早急な対応を（公式垢乗っ取って発言）」

2019.01.28 22:38:51

りりどる@lyrical_dolphin

Peingってやつトークン流出したらしいので連携してる方は今すぐに解除したほうが良い

2019.01.28 22:15:32

まゆにゃあ🐈@転居先探し中なVTuber(休止中)( 💫 🌙 🌱🐬 🦋🍠💧🍁)@mayuneco222

peingさんよ、、、
生トークンそのままソースに埋め込むとか笑えないぞ。。。。
※わかりやすいように言うと、生トークン（鍵）をドアに吊り下げたま
出かけるようなもの。。。。
ターゲットが質問箱を開設していれば、
誰でもツイッターのアカウントを奪う事ができます。。。。。。

2019.01.28 22:35:47

Hak Matsuda@hak

さっき連携したばかりのPeingのアクセス・トークンを粛々とRevokeする簡単なお仕事

2019.01.28 22:16:51

pop / potpro@potpro

Peing、いやあ、去年の10月からあった脆弱性なのは分かるが、どうして誰も指摘せずにそのままだったんだ？publicにトークン公開とかちょっと考えるだけですぐヤバイと気づけるレベルだろう。その方が闇が深くないか？

2019.01.28 22:05:16

🥔🥦💖💙@battlegirl_mmd

Peing生トークン公開とかどうしてそうなっちゃうのかなぁ
GitHubのAWSのそれもそうなんだけど
クローラで生トークン検索するBot走らせるやつ出てきそうよね。他でもそういうのたくさんやってそう。

2019.01.28 22:49:35

SA.N.JO◢@菅井様なーこ教与田祐希山下美月@keyaki_satrain

Peingにtwitterのトークンが丸見えになっている脆弱性が見つかつてメンテナンス中。トークンを利用すると勝手に投稿したり乗っ取られる可能性がある

2019.01.28 22:24:58

Eternal@07896g

peing平文トークンで笑い転げてる

2019.01.28 22:41:07

しょうポチ@209harrison

とりあえず質問箱(Peing)使ってる人は速攻でアプリ連携一旦解除するべきレベルの危なさ

トークン流出の脆弱性が事実だとすると、ほっといたらTwitter関連何乗っ取られてもおかしくない

2019.01.28 21:55:57

イッシー@isiyu1026

Peing使ってる人、使ったことがある人へ

/RT みたいな感じでトークン流出してるので早めに連携解除しときましょう

2019.01.28 22:46:41

⚖️なこぽねっ⚖️@プリコネR@nek0pone

Twitterの乗っ取りとか大抵連携云々の勘違いだと思ってるからpeingの騒ぎもその延長だと思ったけど、トークン晒してたらそりゃ乗っ取られるわ

2019.01.28 21:53:55

ふらっと@this_world_girl

これからTwitterAPI勉強しようと思ってたのにPeingがトークン丸出しだったとか見ると怖くて出来ないわ((

2019.01.28 21:56:07

suna@suna_vrc

peing、運営が勝手に偽質問をしてただけじゃなくてユーザのトークンも平文で公開してたのか、やばすぎる

2019.01.28 22:17:10

健一郎@Kenichirou192

トークン流出は10か月前から発覚していたらしい...
中の人事件といい、なんか...ね。

2019.01.28 22:56:12

Sarisia@A1ces

Peing、トークン取り放題キャンペーンやってたの？すごい

2019.01.28 22:56:27

仕事に戻りるのまげぱ@Magepa

あ〜　平文トークンあー

2019.01.28 22:57:00