SNSアカウントで登録しておくと利用者に対してファンから匿名で質問ができるサービス"Peing - 質問箱 - "の脆弱性が昨晩ごろTwitter上で話題となり修正が行われた模様。脆弱性の内容は質問を送る利用者ページのソースになぜかTwitterのAPIキー、アクセストークンやアクセストークンシークレットなどが記載されていたというもの。

TwitterのAPIキーには「読み込み専用」「DMを除く全機能」「DMを含む全機能」の三種類があり、ソースになぜか記載されていたキーとトークンを利用すると、ツイートの閲覧、フォローやフォロー解除、ツイートの送信など、ダイレクトメッセージやパスワードの必要な設定の変更を除く全機能が利用できる状態だった。

この脆弱性は昨年後半ごろに発見され、複数の利用者に指摘されながら修正されず放置されていたらしい。Peingは個人開発者から今の運営者に買収されたサービスだが、元の開発者が手放した段階ではそのような機能はなかったようだ。