匿名で質問募集できる「Peing」、アクセストークンを第三者が閲覧可能の問題

あるAnonymous Coward曰く、　匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された（ITmedia）。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

　このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

　同サービスでは、以前より脆弱性問題が指摘されていたという。

　なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表している（ITmedia）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える 2014年06月17日
サードパーティのTwitterアプリ制限に対抗する方法：自分で開発者として申請したトークンを使う 2013年07月10日
Twitterにサイバー攻撃、25万件のアカウント情報に不正アクセス 2013年02月02日
認可プロトコル OAuth にセキュリティホール見つかる 2009年04月27日