「質問箱」パスワード約95万件 メールアドレス約150万件が漏えいの可能性

「質問箱」パスワード約95万件 メールアドレス約150万件が漏えいの可能性

2019年1月31日

株式会社ジラフは1月31日、第三者が勝手にツイートできてしまう問題などでサービスを一時停止してた匿名で質問することができるサービス「Peing(ペイング) -質問箱-」の運用を再開。一時停止と調査の中で、パスワードやメールアドレスが漏えいした可能性が確認されたと報告しています。

「Peing-質問箱-」で情報漏洩の可能性、第三者が勝手にツイートできてしまう問題などの調査で発覚

peing
匿名で質問できる「Peing-質問箱-」

匿名で質問できるサービス「Peing-質問箱-」(以下、質問箱)から、ユーザーのパスワード約95万件、メールアドレス約150万件が漏えいした可能性があると、運営会社ジラフが発表しています。

質問箱は1月28日、第三者が勝手にツイートできてしまう問題に対応するためメンテナンスを実施。調査の中で第三者がTwitterのAPIトークンを取得できてしまう問題が確認され、ユーザーのメールアドレスやハッシュ化されたパスワード、過去のツイート情報(鍵垢の場合も含む)、Twitterへの投稿、相手先を指定したDM送信ができる状態になっていたと発表されています。

メンテナンスは29日の19時53分に一度終了していましたが、同日20時44分に再び一部に問題が判明し再度メンテナンスを実施。同日中に完了する予定だとされていましたが、サービス再開スケジュールは翌日に提示するとメンテナンス状態が続いていました。

1月30日、質問箱はサービス再開にあたり今回の騒動の経緯と状況を報告。主な問題点は3つあり、(1)APIトークンが第三者に見える状態になっていた、(2)SNSに登録されているメールアドレスが閲覧可能な状態になっていた、(3)質問箱に登録されていたハッシュ化されたパスワードが閲覧可能になっていた、と報告しています。

漏洩した可能性があるパスワードはハッシュ化されていたとされていますが、メールアドレスへのフィッシング詐欺などの被害が考えられるとし、質問箱と同一パスワードを使用しているサービスのパスワード変更をユーザーに呼びかけています。

質問箱のサービスは1月30日12時40分より再開されています。

ハッシュ化されたパスワード約95万件、メールアドレス約150万件が漏えいの可能性

ジラフが1月31日に発表した内容によると、今回の騒動で漏洩した可能性のある最大件数は、質問箱内のハッシュ化されたパスワードが949,480件。同じく質問箱に登録されたメールアドレスの1,497,697件とのこと。

漏えいしたパスワードはハッシュ化されているため、一般的に容易な方法では解析不可能であり、現段階で確認された具体的な被害はないとのこと。外部機関による調査は現在実施中で、2月中旬頃には完了予定だといい、調査結果は改めて公表するとしています。

ネット上では今回の騒動を「個人的にここまで危機感の無い実装をする企業のサービスは使わない」といったコメントも寄せられています。