LivlisにログインしているユーザーのTwitterアカウント名の漏洩

• 2013/12/19 報告
• 2014/05/15 60,000円のAmazonギフト券が届いた
• 2014/07/08 修正完了

Livlisはmixi子会社のkamadoが運営するサービス。現在、Twitterでログインしてソースを見ると、

<script type="text/javascript">
var L = {
  "ShowUser": {
    "user_id": "50315",
    "screen_name": "kusano\u3055\u3093@\u304c\u3093\u3070\u3089\u306a\u3044",
    "name": "kusano_k",
    "profile_image_url": "http:\/\/pbs.twimg.com\/profile_images\/344513261568620402\/c29dcfb156335e23fc3fd76ed66b2fd4_normal.png",
    "bookmarks": []
  },
  "URL": {
    "ssl": "https:\/\/www.livlis.com",
    "api": "http:\/\/www.livlis.com"
  },
  "Cities": [

という部分がある。ページ中では1行だが整形した。報告時はこの部分が

<script type="text/javascript" src="/contents/js"></script>

と別ファイルを読むようになっていた。これでは、

<script src="http://www.livlis.com/contents/js"></script>
<script>
  alert(L.ShowUser.name)
</script>

というようなページをLivlisにログインしたまま開いてしまうと、Twitterのユーザー名などが漏洩してしまう。

mixiのパスワードリマインダー

• 2014/02/12 報告
• 2014/06/09 修正完了＆報酬支払い対象外との連絡

mixiのパスワードリマインダーには、メールアドレスの一部を照会するという機能がある。ページには

※この機能は、「プロフィール検索」設定が「公開」であり、かつ「生まれた年」「誕生日」が「全体に公開」になっている方のみご利用いただけます。

と書かれているが、任意のユーザーのメールアドレスの一部を照会することが可能だった。適当なパラメタで検索して、ユーザーを選択する画面でソース中のユーザーIDをメールアドレスを知りたいユーザーのIDに書き換えれば良かった。
私はそもそもメールアドレスの一部を照会するという機能があることは知らなかったし、知らない人は多そう。珍しいドメインのメールアドレスを使っている人は、メールアドレスを変えるなり、上述の条件を満たさないようにしてこの機能を使えなくするなりしたほうが良いかもしれない。

まとめ

既知の脆弱性として報酬支払いの対象外になった脆弱性がまだ残っているけど、当分修正はされなさそう。放置するのはまずい脆弱性だと思うのだが……。
一部のサービスとかではなく、子会社も含めた全てのウェブサービスとアプリが対象になっているのはすごい度胸だし、報酬額も太っ腹だった。支払いが渋いとか叩かれていたけど、そもそも報酬額が高すぎたのではないかと思う。ありがとうございました。