Peingの脆弱性について
CNET Japan: 質問箱「Peing」、第三者がなりすましツイートできてしまう脆弱性.
危険性
Peingから漏れた内容について、直接的かつ直ちに被害は及ばないと考えられる。
ただし、以下の対処を行うべき
一旦連携しているサービスについて、Peingとの連携を切る
現状すでに対処がされているが、一旦切っておくほうが良いと思われる。諸々の対処後、信用できると判断できるならば再連携すればよい。
Peingと同じメールアドレスと同じパスワードの組み合わせについて、他のサービスで使いまわしている場合は変更する。
パスワードはハッシュ化されており、すぐさま流用されることは考えられない。
ただ、理論的に時間をかければ元のパスワードを特定可能できる。
といっても天文学的な時間なはずなので、すぐにはおこらないので心配しなくてよい。
といいつつも「天文学的な時間」であるのは、現状のマシンによるもので、今後将来的に技術発展や機械性能の向上によって、現実的な時間で解読される可能性も考えられる。
そのままにしておいて数年、十数年後、忘れた頃に攻撃…といったことがないように使いまわしているパスワードは変えておくほうがのぞましい。
OAuthアクセストークン対策
割と適当な知識で書いているので、勉強が必要…
ある程度、危険性はあるものの直接的なアカウント乗っ取り(=不正ログイン)される心配はとりあえずない。
ただし、以下のことが行われる例示がされている
Twitterへの書き込み
過去に自分で行ったツイートの情報など(非公開ツイートの場合も含む)の閲覧
相手先を指定したダイレクトメッセージの送付。
これを防ぐためには、トークンの無効化をすることが必要だ。つまり、Twitter側からPeingの連携を一旦切ることが望ましい。
またPeingの利用を再開するとき、再度、アクセストークンを発行する(=再連携する?)ことで対策できる(はず)なので、それで安全に扱える。
漏洩した情報
Peingの情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス
1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード
949,480件
salt※
デバイストークン
その他の情報
下表のとおり
table:その他の情報
サービス名 漏洩した情報
Twitter Twitterの登録メール
OAuthアクセストークン
OAuthアクセスシークレット
OAuthコンシューマーキー
OAuthコンシューマーシークレット
Instagram OAuthアクセストークン
Google OAuthアクセストークン
OAuth id_token
Googleアカウント名
Googleに登録した氏名
Facebook OAuthアクセストークン
アカウント名
氏名
プロフィール写真
メールアドレス
原因
第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象
要するに、Peing側でソース等にAPIトークン等が平文で読める状態にあった。ということだった
・・・っけ? ソースがまだ見つけてないが、そういった情報が流れていた。