こんばんわ、BunaBunaです。
ネットサーフィンをしていたら、
かなり気になる話題が!
【Peing(ペイング)質問箱が乗っ取られた】
Peing?
乗っ取り?
ハッカー?
私はこういう系の知識が全くないのですが、
何やら良くない言葉が並んでいます。
そもそもPeingって何?
(え・・・そこからΣ(・□・;))
乗っ取りってどういうこと?
どんな問題が発生してるの?
どうしたらいいの?
連携解除の仕方は?
解除したら、もう大丈夫なの?
色々と気になる事がたくさんあるので、さっそく調べてみました。
Contents
☆Peingって何?
Peing-質問箱-とは、
[aside type=”normal”]匿名で質問をするそして質問を受け取れるサービスのことです。質問箱は5秒で作成完了できちゃいます。
URLをTwitterやInstagramに投稿して、
いろんな人の質問に回答する事ができます。[/aside]
☆一体何が起きてるの?
現在、Peing(ペイング)-質問箱(質問箱)」が緊急の
メンテナンスをしているようです。
そして、質問箱のTwitter連携を外す人が急増してるんだとか。
アカウントが乗っ取られた?とか。
メルアドがネット上に公開されるとか?
一体何がおきて、こんな事に?
匿名質問サービス質問箱「Peing(ペイング) 」に脆弱性が見つかり、連携しているTwitterアカウントが乗っ取られたり、非公開ツイートやダイレクトメッセージを不正に取得されるおそれがあることがわかりました。解決方法は、Peingアプリの連携を解除することです。アプリ連携状況をご確認ください。
— 特務機関NERV (@UN_NERV) 2019年1月28日
どうやら、Peingに連携しているツイッターのアカウントが
乗っ取られたり、非公開ツイートやDMを不正にとられちゃったりする
可能性があるようなんです。
更にさらに・・・実際に、Peingのアカウントが乗っ取られて、
乗っ取った人が、Peingの脆弱性を指摘し、ツイッターの連携解除
を呼びかけてるとの事。
こちらのツイートで、出てるのが、乗っ取られたPeingのアカウントで
注意喚起してるツイートです。
peing使ったことないけど使ってる人沢山いたよね、脆弱性からキー漏れてアカウント乗っ取られてるし、乗っ取った奴が解除しろ言ってんだから連携してるユーザーの情報とれてんだろうね
アプリ認証とかよく知らんけどoauthだったらユーザーのメールアドレスとかは取得できるし pic.twitter.com/Wc6nRWdXHT— にし (@cidr_cuckooo) 2019年1月28日
そこで、ツイッターの連携を外す人が急増しているんですね。
ただ、Peingがダイレクトメッセージへのアクセス権は持っていないことがわかり、
ダイレクトメッセージを不正に取得もしくは送信される事はないようです。
が、非公開ツイートを不正にとられちゃうかも・・・。
ツイッター認証にしていて、漏れる情報は、
メールアドレスとIDとプロフィールの詳細と、アクセストークン
Twitterアクセス情報、暗号化済みパスワード、アクセス日時なのでは?との情報も。
実際、Peing公式サイトはどういってるんでしょうか。
第三者が勝手にツイートできてしまう問題について対応中で、
明朝までに復旧見込みです。
本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。
詳細は明日、会社よりお知らせ致します。
ご迷惑をおかけし大変申し訳ございません。— Peing-質問箱-(公式) (@Peing_net) 2019年1月28日
確かに、他の人が勝手にツイートできる問題が起きてたようですが、
乗っ取りのように、勝手にツイッターにログインされる事は
ないようですね。
まだ詳細な情報は出ていないので、公式発表を待った方が良さそうですね。
情報出次第追記します。
☆連携解除の仕方は?
気になるのは、連携解除の仕方ですよね。
ただ、現在Peing自体が、緊急メンテナンスで、ログインできない状態
なので、通常の連携解除できないようなんです。
これ、皆どうやって解除してるんでしょうか?
普通は、Peing質問箱を使うのをやめようと思ったら、
質問箱にログインして、「退会」。
その後でTwitter連携を解除・・・でOKなんです。
が・・・今はログインできないので、通常の方法ではできません。
【ログインせずにツイッターを解除する方法】
Twitter連係を解除するには、Twitterアプリで、
画面左上の自分のアイコンへ
⇒「設定とプライバシー」
⇒アカウント
⇒「アプリとセッション」
Twitterアカウントと連携しているアプリ・サービスの一覧が表示
されるので、そこから【Peing】を探す
⇒Peingを選択
⇒アクセス権を取り消すを選択
これで、ツイッターの連携を解除できるはずです。
これは、Peingの「読み取りと書き込み」という質問箱の
Twitterアカウントへのアクセス権限を取り消すことができ、
質問箱からTwitterのデータにアクセスしたり、
Twitterを操作することができなくなるそうです。
☆Twitterの連携を解除したら大丈夫なの?
気になるのはここですよね。
上記の方法で、ツイッター自体の連携が外されるので、
勝手にツイートされるという事はなくなるとは思います。
ただ、これはあくまでも「退会」操作の代わりなので、
質問箱からの自動ツイートは止めることができますが、
退会ではないので、アカウントは残る状態です。
こちらのツイートで、Peing対策の詳細を載せてくれています。
思ったよりもかなり影響が大きそうです。
今回の脆弱性の解説です。
影響範囲の大きい脆弱性ですので質問箱(peing)を利用したことがある方全員注意してください。 pic.twitter.com/grohTbRNIA— 国際信州学院大学 (@kokushin_univ) 2019年1月28日
因みに、公式サイトでは、 復旧は明日の朝、1月29日との事です。
また情報出次第追記します。
◆追記
メンテナンスの復旧は、29日の8時でしたが、
未だにメンテナンス中の文字がHPに出ています。
Peing-質問箱ご利用ユーザー様
昨晩からの問題に関する対応は完了しておりますが、安心して皆様にご利用いただくためメンテナンスを延長し、Twitter連携部分に関して調査・確認をしております。
メンテナンス終了時間は16時を予定しておりますので、今後ともどうぞよろしくお願い致します。— Peing-質問箱-(公式) (@Peing_net) 2019年1月29日
既に、昨晩からの問題に対しては、終了してるようですが、
更にチェックしてるようですね。
メンテナンスの終了時間は、16時との事。
そこで、詳細がわかるのでしょうか。
☆まとめ
いかがでしたでしょうか。
Peingで連携しているツイッターアカウントが乗っ取られた
や勝手にツイートされている、メアドなどの情報がネット上に
公開されるなどの色々な憶測が飛び交っていますが、
現時点ではっきりしているのは、
第三者が勝手にツイートされるという脆弱性を
認めるツイートをされています。
詳細は、調査中との事なので、また情報入り次第
追記していきます。
読んでいただきありがとうございました。
コメント