Peing(質問箱)に脆弱性発覚か Twitter連携情報が流出、公式アカは乗っ取り被害

Twitterと連携する匿名質問サービス「Peing(ペイング)-質問箱-」が28日21時現在、緊急のメンテナンスに入り利用できなくなった。

これと前後し、Peingの脆弱性を指摘する声がTwitter上で上がっており、今回のメンテナンスはこれらに対する対応とみられる。

Peingの脆弱性は、ユーザーページのHTMLソースからTwitterとの連携に利用されるトークンを不正に取得できるというもの。アカウントを乗っ取りツイートができるほか、メールアドレスなどの登録情報にもアクセスできるとみられる。

Peingの公式Twitterアカウント(@Peing_net)も攻撃者による乗っ取りを受けたというツイートも確認されているが、現在公式アカウントには乗っ取りとみられる投稿はない。

Peingは、個人開発者のせせり氏が2017年11月に公開したWebサービス。同年12月からは株式会社ジラフ(東京・中野)が運営している。公開以来急速にユーザー数を伸ばした反面、しばしば悪意ある攻撃者から標的とされていた。

参考記事:ダークネス玉葱、今度はPeingを狙う

現在Peingはメンテナンスに伴い利用できないが、攻撃者が取得したトークンが不正に使用され、ユーザーのTwitterアカウントが被害を受ける恐れがある。被害を避けるには、Twitterの設定ページよりPeingとの連携を解除することが推奨される。