2019年1月28日(月)より、匿名で質問できるアプリ「Peing -質問箱-」にて第三者が勝手にツイート出来てしまう問題が発生し、対応中と公式Twitterアカウントが報告しています。
第三者が勝手にツイートできてしまう問題について対応中で、
明朝までに復旧見込みです。
本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。
詳細は明日、会社よりお知らせ致します。
ご迷惑をおかけし大変申し訳ございません。
発端はpeing公式アカウントを乗っ取ったと思わしきツイート。脆弱性を指摘しサポートに連絡したというツイートが投稿され、その後にすぐ該当のツイートは削除されました。
peing公式を乗っ取ることで質問箱の脆弱性を自ら証明、指摘する本物の男がおるな(ツイートは即消しされたけど) pic.twitter.com/mVK5VEjGpR
— 美意識 (@SensEsthetique) 2019年1月28日このツイートの削除については、乗っ取った側が警告後消したのか、乗っ取りに気づいた公式がアカウントを取り戻して消したのかは不明です。
この時点で脆弱性の有無や乗っ取りが事実かどうかについては外部から正確に判断するすべがありませんでしたが、その後公式が改めて、上述の問題について投稿したことから、告発はともあれ実際に問題が発生していることが判明しました。
(adsbygoogle = window.adsbygoogle || []).push({});
公式によると発生しているのは「第三者が勝手にツイートできてしまう問題」であり、「本事象に関連して第三者がユーザのTwitterにログインをしたり、他サービスにTwitterログインされることはない」とのこと。
乗っ取ったと思われる側のツイートですが、とりあえず不安であればTwitterとの連携を外すことが推奨されており、確かにこれについては対処方法として間違ってはいないと思われます。
とりいそぎ、公式からの発表があるまでTwitter連携は外していくのが安全だと思います。
外し方は、Twitterにログインして自分のアイコンメニューから「設定とプライバシー」を選択。
画面左カラムで「アプリと端末」を選択すると連携されているアプリが表示されるので、そこから「Peing -質問箱-」を探して「許可を取り消す」をクリックすればOKです。
【追記】
公式Twitterアカウントよりその後の経過が報告されています。
まず今回の件で、起きうる問題は以下とのこと。
1)ユーザのTwitterの情報の取得できた
・トークンを用いて、登録されたメールアドレス
・ハッシュ化されたパスワード
・過去に自分で行ったツイートの情報など(鍵垢の場合も含む)
2)Twitterへの書き込み
3)相手先を指定したDMの送付
さらにネット上で言われていた、以下の様なことは出来ないとも報告しています。
・プロフィールに記載のない電話番号や住所などの個人情報の取得
・Twitterへのログイン
・Twitterログインを用いた他サービスへのログイン
・DM内容の閲覧
またTwitterでの連携解除については、28日(月)22時10分に対応が完了しており、ユーザーが連携を解除しなくても情報が第三者に渡ることは無いとしています。
現時点でもサービス自体はメンテ中となっており、数回延長された後29日20時までの予定となっています。
メンテナンス終了時刻を1月29日(火)18時を予定しておりましたが、改善の実装が完了し最終確認中のため20時まで延期とさせていただきます。
サービス提供開始次第、公式アカウントからご連絡させていただきます。
ご迷惑をおかけ致しますが、ご理解ご協力のほど、よろしくお願い致します。
(adsbygoogle = window.adsbygoogle || []).push({}); (adsbygoogle = window.adsbygoogle || []).push({});