Twitterと連携する匿名質問サービス「Peing(ペイング)-質問箱-」が28日21時現在、緊急のメンテナンスに入り利用できなくなった。
これと前後し、Peingの脆弱性を指摘する声がTwitter上で上がっており、今回のメンテナンスはこれらに対する対応とみられる。
緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。
— Peing-質問箱-(公式) (@Peing_net) January 28, 2019
Peingの脆弱性は、ユーザーページのHTMLソースからTwitterとの連携に利用されるトークンを不正に取得できるというもの。アカウントを乗っ取りツイートができるほか、メールアドレスなどの登録情報にもアクセスできるとみられる。
Peingの公式Twitterアカウント(@Peing_net)も攻撃者による乗っ取りを受けたというツイートも確認されているが、現在公式アカウントには乗っ取りとみられる投稿はない。
peing使ったことないけど使ってる人沢山いたよね、脆弱性からキー漏れてアカウント乗っ取られてるし、乗っ取った奴が解除しろ言ってんだから連携してるユーザーの情報とれてんだろうね
アプリ認証とかよく知らんけどoauthだったらユーザーのメールアドレスとかは取得できるし pic.twitter.com/Wc6nRWdXHT— にし (@cidr_cuckooo) January 28, 2019
Peingは、個人開発者のせせり氏が2017年11月に公開したWebサービス。同年12月からは株式会社ジラフ(東京・中野)が運営している。公開以来急速にユーザー数を伸ばした反面、しばしば悪意ある攻撃者から標的とされていた。
参考記事:ダークネス玉葱、今度はPeingを狙う
現在Peingはメンテナンスに伴い利用できないが、攻撃者が取得したトークンが不正に使用され、ユーザーのTwitterアカウントが被害を受ける恐れがある。被害を避けるには、Twitterの設定ページよりPeingとの連携を解除することが推奨される。
