脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ

第三者にアカウントを悪用される脆弱（ぜいじゃく）性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。 Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。 当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに

[tarotheripper]

「メンテが明けるとどうなる？」「知らんのか メンテが始まる」

[calibaby]

こんなんだと、当然「誰が質問したかも丸見えになりました」とかもありえそうだな！

[masatomo-m]

ジラフって運営元のメインはスマホの中古転売仲介とかそういう方向みたいなので、そっちの方で扱ってる個人情報も同じような扱いにされている可能性があって利用者はご愁傷様としか・・・ http://recruit.jiraffe.co.jp/works

[boekendorp]

「メルアド」って最近言うっけ？

[Tomosugi]

ここって麻生家の意識高い跡取りの会社じゃなかったっけ？

[kw5]

大量のユーザーがいるサービスでこのレベルの漏洩を出した上に指摘されても直せないのヤバそう　他のサービスは大丈夫なんだろうか……

[TownBeginner]

技術者にお金払ってないんだろうなと想像している。

[rti7743]

いい加減に適当に作られたプログラムだな。ただ、これでも稼げてしまう。プログラムの出来とカネは関係ないからなあ・・・

[kabochatori]

SQLインジェクションで情報ぶち撒けたかのような有様。これを自前でやってしまうか…

[north_korea]

oauth_token_secretが誰でも見れる状態だったのは驚いた

[daybeforeyesterday]

うーむ

[otakumesi]

Webに疎い開発者の「流行りのvueにリプレイスしたい！」みたいなノリの要求を受け入れた結果、data属性に重要な情報を埋め込む実装を許しちゃった、みたいな妄想をしている

[konisimple]

今度は個人情報漏洩案件になってしまった。 今回のほうが初歩的なミスで、メンテ後にちゃんとチェックしなかったことが伺える。 会社的には今回の件をすごく軽いことに見てそう。せっかく買ったのにもったいない

[hate_nao]

せせり先生が売却したやつか。

[joker1007]

あー、関係者が皆馬鹿なんですねー……、という事案。

[tokuniimihanai]

ハッシュ化パスワードとソルトが漏れたってことは、パスワードも変更する必要ありそう／サービス売却した先が5回も問題起こすとは製作者も考えてなかっただろうな‥‥

[ghostbass]

return Json(repo.GetUser(userId)); // asp.net風 みたいなやつ？hash値とsaltとemailが同時に…って何

[b4takashi]

個人開発者が対策していたものを無効化したらしいから、「最初から対策してなかった」という宅ふぁいる便よりタチが悪いともいえる

[estragon]

ジラフってとこが運営らしいけど、ちょっと対応がひどいな。

[gazi4]

https://www.huffingtonpost.jp/2018/01/17/peing_a_23335512/　これ１年前か

[stk132]

userテーブルにハッシュ済みパスワード、ソルトが一緒に入ってて、そのレコードを丸ごとjsonにしてフロントに引き渡してるとかじゃないよね？まさかね？

[teracy_junk]

『任意のPeingユーザーページのHTMLソースに、ユーザーのメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列が公開になっていた』熱い

[marmot1123]

このレベルのセキュリティ事故（事象では無い）があったら、長期メンテでちゃんと安全を確認するのが普通だと思った。

[ka-ka_xyz]

うまくハンドリング出来てないオフショア開発感（もし内製でこれだとしたら本気で開発体制見直した方が良くね？）

[xlc]

脆弱性とは何かを理解していないエンジニアが作った感じだな。全体がこんな作りで手がつけられないのだと推測。

[manaten]

vueでSSRしてるのね。サーバーサイドのオブジェクト加工したものpropsで渡してて、その際に不要なプロパティを除去するの忘れてたりすると起こりえそうな話ではある。

[deep_one]

コメントを見て。デバッグ用にシステムが管理している情報をつけて出す機能をオンにしたまま忘れているというパターンかな。

[kazuya53]

買い取ったサービスまともに保守できる能力が無いのか

[sds-page]

塩対応

[hilde]

みんなはやく逃げて（真顔

[jt_noSke]

やめﾝて!

[kote2kote2]

セキュリティ担当のエンジニアがいないのか？

[uturi]

こういう基本的な部分でのセキュリティが脆弱だと、そのうち開き直って公開したままで利用規約を変更しそうな気がする。

[chikoshoot]

宣言する期日が短すぎるところは信用できない。

[PrincessGorilla]

メルアド？メアド？(気になるポイントそこ)

[taku-o]

技術者が居ないみたい？メンテ明ける前の確認作業でこのレベルの問題を拾えないのはかなり厳しい

[strangerxxx]

peeing