■ このスレッドは過去ログ倉庫に格納されています
質問箱のPeingに脆弱性 ユーザーのTwitterトークンが“丸見え” 公式アカウントが乗っ取られメンテナンスに [135069671]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:29:33.03 ID:GywAwUuC0NIKU.net ?2BP(1000)
- http://img.5ch.net/ico/3-2.gif
Twitterユーザーが匿名で質問を受けられるサービス「『Peing』(質問箱)」に、セキュリティ上の脆弱(ぜいじゃく)性があることが
1月28日分かった。悪用すれば、第三者が任意のユーザーになりすましてツイートを投稿することなどが可能だった。運営会社の
ジラフは同日午後10時10分に対応を完了したとして、アプリ連携を解除しなくても問題はないとしている。
脆弱性の悪用でできたこととできなかったこと
Peingを利用しているTwitterユーザーのトークンなどが、ブラウザの開発者ツールを用いるだけで誰でも閲覧できる状態になっていた。
ジラフによれば「ユーザーの過去のツイート(公開、非公開関わらず)、トークンを用いて登録されたメールアドレス、ハッシュ化された
パスワードの取得」「Twitterへの投稿」「相手を指定したダイレクトメッセージの送付」が可能だったという。
28日午後9時ごろ、何者かがこの脆弱性を利用し、Peingの公式アカウントから「Peingには脆弱性があります。サポート宛てに連絡した
ので確認をお願い致します。どうか早急な対応を」とツイート。Peingの運営チームがすぐに削除したが、Twitterユーザーがその
スクリーンショットを拡散し、Twitterトレンドに「Peing」が入るなど話題になった。
Peingの公式アカウントは同日午後9時35分に「緊急メンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません」(原文ママ)と
アナウンスし、サービスをメンテナンス状態にした。当初は「明朝まで」に復旧を予定していたが、「29日午後6時まで」に延長した後、
さらに午後8時まで延長した。
一般に、Twitter連携アプリはTwitter開発者コンソールからユニークなコンシューマーAPIキーとAPIシークレットキーを発行する。
この2つのキーをTwitterのユーザー連携認証用の関数に通し、各ユーザーにアプリ連携の手順を踏んでもらうことで、アプリ自身は
ユーザーのパスワードを取得することなく、アプリとTwitterユーザーアカウントを連携できる。
この認証方法を「OAuth」(オーオース)といい、アプリはユーザーパスワードの代わりにアクセストークンとアクセストークンシークレットを
得る。これら4つのキーを合わせて初めて、あるアプリからあるTwitterユーザーとしてアクションできるようになる。
今回の脆弱性では、開発者ツールから確認したTwitterユーザーのスクリーンショットを見ると、アクセストークンとアクセストークンシークレットが
ユーザー情報とともに記載されている状態で、コンシューマーAPIキーとシークレットキーは少なくとも別の場所にあったようだ。
また、これらのキーが閲覧できてしまう脆弱性は以前から指摘されていたようだ。Twitter上では1月24日にも脆弱性を指摘するツイートがある他、
「昨年10月から脆弱性が放置されていた。報告しても一部しか直されなかった」という声も上がっている。
ITmedia NEWS
https://headlines.yahoo.co.jp/hl?a=20190129-00000071-zdn_n-sci
- 2 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:30:28.51 ID:YwprO6ZvMNIKU.net
- 昔からあるのに何故ここ数日また流行り出したんだ?
- 3 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:31:31.00 ID:xZ0lPY+yaNIKU.net
- ひどいなこれは
- 4 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:32:45.66 ID:3cm9drsuaNIKU.net
- どの連携アプリもこの脆弱性はあるんじゃないの?
- 5 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:35:33.02 ID:dw6YRDqX0NIKU.net
- BOT作るときに発行しても貰うやつか
- 6 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:37:28.43 ID:HGJ4ldr5xNIKU.net
- >>4
ない
パスワードほどではないがアクセストークンはかなり機密情報
- 7 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:40:14.93 ID:3cm9drsuaNIKU.net
- >>6
ハッカーならアクセストークンをパクれるって聞いたぞ。
- 8 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:41:47.11 ID:HGJ4ldr5xNIKU.net
- >>7
本当ににそんなことできたらツイッターが常にレイバンの広告だらけになるわ
- 9 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:58:11.36 ID:aw1JEh740NIKU.net
- アプリのキーもわからんと直接は叩けんぞ
たぶんpeingのサイト経由で叩くためのキーやろな
総レス数 9
5 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200