LINE Versionの脆弱性

注意:仕組みが100%異なるDiscord Versionでは確認されていません。

tl;dr:LINE Versionに重大な脆弱性が確認されました。「group_id」がわかれば、ウェブ上でLINEアカウントの有無を問わず当番設定の閲覧・変更ができます。

詳細

Toubans! 使い方動画の36秒付近にて、herokuのドメイン名を発見しました。このドメインにアクセスしたところ、オープンソースVer.と同じファイル構成が確認でき、また、mainForm.phpにアクセスすることで、当番設定の変更画面が表示できました。

ソースコードを確認するとわかるように、このphpファイルにはhidden inputの形でgroup_idがありました。group_idパラメータの変更または開発者ツールにて容易に変更できます。

Group IDはハッシュなので推測は困難ですが、もし流出などがあればそのグループの当番設定を変えることができ、場合によっては当番情報などから個人情報がばれる可能性があります。

解決方法

Discord版に乗り換えましょう!