image layout frameless
マイクロソフト > GitHub GitHub(ギットハブ)は、ソフトウェア開発のプラットフォームであり、ソースコードをホスティングする。コードのバージョン管理システムにはGitを使用する。Ruby on RailsおよびErlangで記述されており、アメリカのカリフォルニア州サンフランシスコ市に…
11キロバイト (1,209 語) - 2022年9月2日 (金) 16:13

13   :2022/10/07(金) 19:29:57.20ID:zIXm7/Ly0
これだからな。日本のITレベルは。




1 少考さん ★ :2022/10/07(金) 19:21:10.64ID:sIG6ji069
※ITmedia NEWS

トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
https://www.itmedia.co.jp/news/articles/2210/07/news178.html

2022年10月07日 16時52分 公開 [ITmedia]

トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。

 2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。

(略)

※省略していますので全文はソース元を参照して下さい。

46 ニューノーマルの名無しさん :2022/10/07(金) 20:35:33.44ID:OTtj6vwq0
>>1続き

 原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。

 トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。

 トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。

 該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。

3 ニューノーマルの名無しさん :2022/10/07(金) 19:22:35.47ID:+sQ2+aOZ0
なんでGitHubなんて使ってんだ?

26 ニューノーマルの名無しさん :2022/10/07(金) 19:38:23.83ID:hC7dCDWJ0
>>3
企業用のプライベート設定できるから使ってるところ多いよ。
ただ、画像ファイルとかURLを知って居れば見れてしまうとか落とし穴がある

34 ニューノーマルの名無しさん :2022/10/07(金) 19:46:08.49ID:uSkZusOH0
>>26
それじゃ全然プライベートではないが馬鹿なのか

7 ニューノーマルの名無しさん :2022/10/07(金) 19:25:31.95ID:RMfaFqTq0
またgithubかよ
潰せよ

10 ニューノーマルの名無しさん :2022/10/07(金) 19:27:28.42ID:UbQqJ1hY0
SQLiteでも使ったか?
セルフユースじゃねぇんだからよ、セキュア感覚無い奴にはアプリ開発させるなよ。

29 ニューノーマルの名無しさん :2022/10/07(金) 19:43:05.63ID:QM/aR/7i0
>>13
売り手市場だからかイキってるアホなエンジニアが増えてるよな

24 ニューノーマルの名無しさん :2022/10/07(金) 19:35:36.95ID:UbQqJ1hY0
なんだ。 パブリッシュにしていたという事か。 いわゆるオープンソースだな。
本人もOSSのつもりだったんじゃないの?
無能の管理職ばかりの職場はこれだから・・・

31 ニューノーマルの名無しさん :2022/10/07(金) 19:43:30.65ID:bjT5FowN0
俺のも漏洩してるんだろな
変なとこからメールが来るようになったから

44 ニューノーマルの名無しさん :2022/10/07(金) 20:24:59.56ID:b6IThXrb0
漏洩っていうより
個人情報として認識すらされてなかったようで
低レベルのセキュリティ知識を持った技術者すら
トヨタにはいなさそうだな。
登録セキスペの人達は罰則を喰らうんやろか

48 ニューノーマルの名無しさん :2022/10/07(金) 20:41:23.89ID:swsJhXsU0
日本のセキュリティ、官民で無茶苦茶やんけorz

50 ニューノーマルの名無しさん :2022/10/07(金) 20:42:06.00ID:7iJvMJIP0
どこに委託してたの?
こんな杜撰な管理するようなところは潰さないと
>原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。

54 ニューノーマルの名無しさん :2022/10/07(金) 21:02:56.44ID:+a3ypVlo0
トヨタくらいはこういうこと起こさないと信じていたよ
まあ下請けがダメな会社だったんだろうけど

58 ニューノーマルの名無しさん :2022/10/07(金) 22:17:43.56ID:HHEHpz6Z0
トヨタの割には流出量少ないな

62 ニューノーマルの名無しさん :2022/10/07(金) 23:05:44.35ID:1h1CWLPR0
内容読むとデータを上げてたんじゃなくてそのデータ(DBかな)にアクセスできるキーが乗ってた感じか?
そもそも外から見られるのは論外だが外に公開してないgitとかなら普通に上げてるのも多そうな気がする

65 ニューノーマルの名無しさん :2022/10/07(金) 23:11:02.05ID:xHda5NyV0
>>62
まあ、RDBMSのIP, user id, passがハードコードされていたか設定ファイルに書かれたものがアップされてたんだろうね

でも、ご指摘の通りそれだけなら普通はでーびーに入れないよ
でーびーも外部からアクセスできたってことだからしゃれにならんね

69 ニューノーマルの名無しさん :2022/10/07(金) 23:53:34.66ID:XIiw5VIk0
Githubは悪くない。プライベートリポジトリを使っていれば問題ない

なんでオープンリポジトリで公開してんだって話
誤って?誤ってそんなことする?故意以外にあるか?

63 ニューノーマルの名無しさん :2022/10/07(金) 23:08:52.50ID:xHda5NyV0
意識高い系のエンジニアがやらかしたんだな



スポンサーリンク