検索
ニュース

脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。


午後8時にサービス再開するも、再メンテへ

 Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。

 当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに安心してご利用いただける状態になっております」と告知していた。

 しかし「メンテナンス後もメールアドレスやハッシュ化パスワードなどが公開状態のままだ」とTwitterユーザーから声が上がった。任意のPeingユーザーページのHTMLソースに、ユーザーのメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列が公開になっていた。

 このパスワードはPeing特有に設定するものであり、Twitterアカウントのパスワードとは異なる。ソルトはパスワードをハッシュ化する際にパスワードに付加する文字列で、ハッシュ値から元の文字列を推測しづらくするために利用するものだ。

 Peingは午後8時44分に「一部問題がある」として再びメンテナンスに入った。「本日中に対応できるよう取り組んでいる」という。


Peing-質問箱-に関するお詫びと詳細のご説明(第一報)一部抜粋

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る