匿名で質問募集できる「Peing」、アクセストークンを第三者が閲覧可能の問題

2019年2月1日 15:55

あるAnonymous Coward曰く、　匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された（ITmedia）。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

　このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。