第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。
Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。
当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに安心してご利用いただける状態になっております」と告知していた。
しかし「メンテナンス後もメールアドレスやハッシュ化パスワードなどが公開状態のままだ」とTwitterユーザーから声が上がった。任意のPeingユーザーページのHTMLソースに、ユーザーのメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列が公開になっていた。
このパスワードはPeing特有に設定するものであり、Twitterアカウントのパスワードとは異なる。ソルトはパスワードをハッシュ化する際にパスワードに付加する文字列で、ハッシュ値から元の文字列を推測しづらくするために利用するものだ。
Peingは午後8時44分に「一部問題がある」として再びメンテナンスに入った。「本日中に対応できるよう取り組んでいる」という。
関連記事
質問箱のPeingに脆弱性 ユーザーのTwitterトークンが“丸見え” 公式アカウントが乗っ取られメンテナンスに
匿名質問サービス「Peing-質問箱-」に脆弱性があった。悪用すれば、第三者が任意のユーザーになりすましてツイートを投稿することなどが可能だった。
「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも
「宅ふぁいる便」のサーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。
まるで「虫の大群」? 2019年のサイバー攻撃、セキュリティベンダー各社が予測
セキュリティベンダー各社による、2019年のセキュリティ脅威予測をまとめた。
「宅ふぁいる便」不正アクセス、「郵便番号」も漏えい
「宅ふぁいる便」の顧客情報が流出した問題で、新たに郵便番号なども漏えいしていたことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.