トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
10/7(金) 16:59配信
トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。
https://news.yahoo.co.jp/articles/bee8b5c21c6aedb1fae66d32ece3b611f5e0e28b 0329番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 6fd2-SlpP)2022/10/08(土) 21:53:34.88ID:649rlwfv0
ソースと一緒に個人情報載せること自体がありえんし
よく分からん下請けの雑魚エンジニア使うとこういうリスクあるってこと
余計なことしたな
アホで馬鹿でクズで間抜けで生きている価値のない無能に便利な物を使わせると
そいつが産まれてきたことが間違いと言える惨事を引き起こす
0333番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW b3af-7xR0)2022/10/08(土) 23:31:05.83ID:1Cf9Cc0X0
契約会社という名の下請けに安くやらせてるから当然起こり得るよな
0334番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW cbaf-od5m)2022/10/09(日) 00:12:30.91ID:UYolxBwr0
>>326
いや1ミスじゃ漏洩しなくなるんだから関係あるだろ 0335番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 9fb7-zauZ)2022/10/09(日) 00:13:25.72ID:mzsy4v4Y0
詫び石はよ
0336番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 4e87-TheM)2022/10/09(日) 00:30:57.71ID:xaw8ZNhG0
詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ
0337番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ cbaf-mdlF)2022/10/09(日) 00:34:12.55ID:S5WRkCND0
こんな間違いするならブレーキも…
実務やってる末端はリソース無しのドブラックなんだから、うっかりミスだろうと根本的な知識不足だろうと起こりえる環境なんだよ
ダブルチェックとかの基本的なことすらリソース的にできてないんだろう多分
こんなんIT業界の多重下請構造自体を直さん限り何回でも続くわ
>>319
それもそうだしそもそもアクセスキー入ったのコミットするとエラーはくアドオンあるのに使ってないのもアホ
その手のアホを探すボットが徘徊してるからもう流出してるだろ
というか5年も気づかれなかったってことは
ソース自体はほんとにどうでもいい箇所だったんだろうな 0340番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW cbaf-Mqln)2022/10/09(日) 01:19:58.55ID:5cc+0FXV0
そもそもgitにアクセスできないように制限かけておくべきかなとは思うけどな
0341番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW cbaf-TUNH)2022/10/09(日) 01:51:00.81ID:54cPsTCb0
>>340
今そんなことしたらCで書いてても動かなくなる
サブモジュールDLできない >>289
俺的正義を言われても現実見えてないねとしか 0343番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 3a8c-6YyG)2022/10/09(日) 02:27:16.09ID:tqtbk/+L0
TCさんさぁ…w
0345番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 1bdc-3fXN)2022/10/09(日) 03:02:45.59ID:Vds/Hhlz0
委託先を攻撃したろと思ったら既にとんでもない穴があったでござる
0346番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ defd-cZVB)2022/10/09(日) 03:14:47.26ID:QzLWeOB10
なんでわかったん
トヨタも丸投げsierに丸投げしてるのかよ
日本企業はIT関係の丸投げが染み付きすぎだろ
孫請けのなんの責任もない人間に社内の機密情報触らせんなよ
休み明けにいろんな会社でリポジトリの公開設定とアクセスキー載っけてないかの調査指示がでるんだろう
0350番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW cbaf-Mqln)2022/10/09(日) 08:37:10.84ID:5cc+0FXV0
>>342
現実見えてねえとかそういう話ではない
不適切な取り扱いと言ってるってことはそもそもgitにあげちゃいけないルールってことだ
それを俺的正義とかいうってるお前は頭おかしい 0351番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 5f44-aKmz)2022/10/09(日) 08:43:45.91ID:ji1jXX/z0
>>350
公開されてるところにあげちゃいけないだけで
別にgitがダメかどうかなんて言ってないでしょ 0352番組の途中ですがアフィサイトへの転載は禁止です (アウアウウー Sa2f-sID7)2022/10/09(日) 08:46:37.69ID:j36ZeOQka
人間に依存するルールとか頭悪いな
ゴミみたいな仕様のシステム作ってそう
0353番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 0642-91Xk)2022/10/09(日) 09:18:19.95ID:4Lz68R/U0
夜叉孫受けからフリーランスあたりに発注したのかな
トヨタって自社の決済もやってなかったっけ?
大丈夫かいな
0357番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 5e9f-kHT+)2022/10/09(日) 10:25:53.68ID:mlKYXkQS0
>>139
>1も2017年から流出、とか書いてるしアスカが正しかったんか・・・ 0358番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW b3af-O3YF)2022/10/09(日) 10:32:10.15ID:6oBkBF7S0
三次受け四次受けまで行くと無理ゲーだな
0359番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 6fd2-nw+R)2022/10/09(日) 11:03:00.70ID:JjV4WH4M0
顧客情報はクラウド上のDBなのかな
そこへのアクセスキーが漏洩したと
0360番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 6fd2-VbeS)2022/10/09(日) 11:32:29.15ID:nMLnfpfW0
詫び石はよ
0361番組の途中ですがアフィサイトへの転載は禁止です (スップ Sd8a-O3YF)2022/10/09(日) 11:38:02.65ID:Ahs+Wez3d
>>53
部分変更履歴もわからんSVNで管理とかプロジェクト人数2人ってとこか? 0362番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 1b63-eOAw)2022/10/09(日) 11:39:31.43ID:x8k/6yGL0
ソースコードにデータ直打ちするなって習わなかったのか?
0363番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 1b63-eOAw)2022/10/09(日) 11:41:52.94ID:x8k/6yGL0
> ソースコードにはデータサーバへのアクセスキーが含まれ
これは頭悪すぎる
0364番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ c6b1-j20P)2022/10/09(日) 11:43:01.74ID:/wj2NzNu0
> ソースコードの不適切な取り扱いが原因
ちげえわw アクセスキーをハードコードしてるのがありえねんだわ
Githubはログインすれば誰でもコード検索できるからね
検索演算子もGoogle並に充実してるから割と容易にこの手のアホは見つかってしまう
最近はGithub側が警告出してるって聞くけど、どうかな
0366番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ b3af-p1Iq)2022/10/09(日) 14:25:21.33ID:wRhidBvq0
こんなお粗末なデータ管理しかできない会社が
自動運転車作ってるんだぜ…
0369番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW c6a2-MEzR)2022/10/09(日) 17:05:38.65ID:VQp1tu440
>>276
サービス仕様によるけど個人情報を参照するようなものは自社サーバから間接的にアクセスするものだから
普通はアクセス元の制限するよIPなりなんなりで 0370番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW c6a2-MEzR)2022/10/09(日) 17:06:49.05ID:VQp1tu440
T-connectって車用wifi使い放題のアレか
0372番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 0ba2-Zc4S)2022/10/09(日) 19:21:23.79ID:iGMzx/r40
ソースコードにハードコーディングはしないけどめんどくさいなときは認証情報入った設定ファイルも含めちゃうわ
>>85
.envに本番で使うアクセスキー書く時点で終わっとる 0374番組の途中ですがアフィサイトへの転載は禁止です2022/10/10(月) 01:15:37.53
>>373
confidentialsでも.ファイルに書くって話ならどこでも同じ話なんだけど
お前アスペ? >>374
本番設定をファイル直書きとかねーわ
レベル低すぎ >>374
お前が杜撰な機密情報管理してることだけはわかったわ どんなにセキュリティーがちがちな固めても、はーい、皆さーん、今の流行はgithubですよー、いつまでyyyymmddやsubversion使ってるんですかー?笑われますよーと煽ってやると、他社のサーバにバカスカ、コードをコミットする日本人、ちょろいやつらだ
インフラSEがどんなに頑張ってもダメ
0378番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 3a87-zauZ)2022/10/10(月) 02:41:01.22ID:JbL/Mh4W0
え
色々アレだが、アクセスキーをgitに上げてる時点で既におかしい