質問箱のPeingに脆弱性　ユーザーのTwitterトークンが“丸見え”　公式アカウントが乗っ取られメンテナンスに [135069671]

http://img.5ch.net/ico/3-2.gif
Twitterユーザーが匿名で質問を受けられるサービス「『Peing』（質問箱）」に、セキュリティ上の脆弱（ぜいじゃく）性があることが
1月28日分かった。悪用すれば、第三者が任意のユーザーになりすましてツイートを投稿することなどが可能だった。運営会社の
ジラフは同日午後10時10分に対応を完了したとして、アプリ連携を解除しなくても問題はないとしている。

脆弱性の悪用でできたこととできなかったこと

Peingを利用しているTwitterユーザーのトークンなどが、ブラウザの開発者ツールを用いるだけで誰でも閲覧できる状態になっていた。
ジラフによれば「ユーザーの過去のツイート（公開、非公開関わらず）、トークンを用いて登録されたメールアドレス、ハッシュ化された
パスワードの取得」「Twitterへの投稿」「相手を指定したダイレクトメッセージの送付」が可能だったという。

28日午後9時ごろ、何者かがこの脆弱性を利用し、Peingの公式アカウントから「Peingには脆弱性があります。サポート宛てに連絡した
ので確認をお願い致します。どうか早急な対応を」とツイート。Peingの運営チームがすぐに削除したが、Twitterユーザーがその
スクリーンショットを拡散し、Twitterトレンドに「Peing」が入るなど話題になった。

Peingの公式アカウントは同日午後9時35分に「緊急メンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません」（原文ママ）と
アナウンスし、サービスをメンテナンス状態にした。当初は「明朝まで」に復旧を予定していたが、「29日午後6時まで」に延長した後、
さらに午後8時まで延長した。

一般に、Twitter連携アプリはTwitter開発者コンソールからユニークなコンシューマーAPIキーとAPIシークレットキーを発行する。

この2つのキーをTwitterのユーザー連携認証用の関数に通し、各ユーザーにアプリ連携の手順を踏んでもらうことで、アプリ自身は
ユーザーのパスワードを取得することなく、アプリとTwitterユーザーアカウントを連携できる。

この認証方法を「OAuth」（オーオース）といい、アプリはユーザーパスワードの代わりにアクセストークンとアクセストークンシークレットを
得る。これら4つのキーを合わせて初めて、あるアプリからあるTwitterユーザーとしてアクションできるようになる。

今回の脆弱性では、開発者ツールから確認したTwitterユーザーのスクリーンショットを見ると、アクセストークンとアクセストークンシークレットが
ユーザー情報とともに記載されている状態で、コンシューマーAPIキーとシークレットキーは少なくとも別の場所にあったようだ。

また、これらのキーが閲覧できてしまう脆弱性は以前から指摘されていたようだ。Twitter上では1月24日にも脆弱性を指摘するツイートがある他、
「昨年10月から脆弱性が放置されていた。報告しても一部しか直されなかった」という声も上がっている。

ITmedia NEWS
https://headlines.yahoo.co.jp/hl?a=20190129-00000071-zdn_n-sci

質問箱のPeingに脆弱性 ユーザーのTwitterトークンが“丸見え” 公式アカウントが乗っ取られメンテナンスに [135069671]

質問箱のPeingに脆弱性　ユーザーのTwitterトークンが“丸見え”　公式アカウントが乗っ取られメンテナンスに [135069671]