トヨタ「GitHubにソースコード載せてたから客のメアド情報5年間流出し続けてたわ」30万件漏洩 [817260143]
■ このスレッドは過去ログ倉庫に格納されています
トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
10/7(金) 16:59配信
トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。
https://news.yahoo.co.jp/articles/bee8b5c21c6aedb1fae66d32ece3b611f5e0e28b 2:もこうの創価学会ネタってそんなにまずいんか? (1) [なんでも実況J]
3:【徹底討論】「インターネットヒーロー加藤純一」と「創価学会クチャラー歌うたい寝取られ王もこう」どっちの方が好き? (1) [ニュー速VIP]
4:もこう「年収数億です。158センチです。クチャラー、創価、胃腸炎、粗チンです」←ステータスとしてどうなん? (4) [ニュー速VIP]
5:もこう(158cm、デブ、チー牛、adhd、社不、不登校、創価) (8) [ニュー速VIP]
6:日野後藤】創価ふざけるジャニ吉本ディズニ学会なめる絶叫幸福棒【モコウ松本 (12) [育児]
7:日野後藤】創価ふざけるジャニ吉本ディズニ学会なめる絶叫幸福棒【モコウ松本 (15) [家ゲーRPG]
8:もこうって最近ネタでも創価学会のことやたら ジャップランドなんてSVNで十分なんだよ(思考停止) たまにネットに大手企業はすさまじいセキュリティやコンプラでガチガチとか言う奴いるけど
そんなん妄想だろって思ってる少なくとも日本企業は >>98
リポジトリを本社指定の場所使わせればよくね?
とは言っても孫まで行くと直接手を下せないのか… これUberもやってたよな
プライベートリポジトリだとしてもシークレットをアップロードするのはやめろよ
情弱すぎる リポジトリをpublicにしてたって事?
いくら何でも経費削減しすぎて違法行為する事はないやろ >>98
そこを管理して徹底させるのが元請けの責任だからその論理には意味がねーんだわ >>100
本社の面倒くさいセキュリティ認証なんか毎回してられるか!
ちょっと仕事に関わる部分を私的にぶっこ抜いておいて、
何処からでもどのデバイスからでもアクセスできるようにしておこうっと!
こういう馬鹿が必ず発生する
だから委託先には顧客データとかアクセスキーなどは明かさずに
偽データを渡してガワだけ構築させるのが普通なんだが
まあそこはジャップのITに弱い部分で、何を渡して何を守るかの切り分けが無いんだね 大川隆法の息子「山上容疑者の気持ち分かるよ。俺も幸福の科学と関わりある政党憎い」 (11) [ニュース実況+]
2:【悲報】大川隆法の息子「山上容疑者の気持ちはめちゃくちゃ分かる、少し間違えば自分は隆法を撃ってた」 [963243619] (64) [ニュー速(嫌儲)]
3:【チャンネル桜】上祐、幸福科学の大川息子、創価・統一関係者など呼んで討論したらカオス状態にwwこれ地上波じゃ出来ないだろw [535898635] (136) [ニュー速(嫌儲)]
4:大川隆法の息子「本当、新興宗教は危険で >>108
論理じゃない
実際に発生してることを言ってるだけ なんで個人情報をリポジトリに含めてるんだ?
しかもパブリック >>106
もうGitHub側でサジェストしてやる必要あるわ
GitHubの脆弱性といっていい githubに実メールアドレスでコミットしまくってたけど迷惑メールとかは全然来ないな 優秀
最近やっと匿名にかえたけど >>27
なんなら金融系ですらあんま信用してないわ 馬鹿な客のためにシークレットキーを検出してくれる機能もGitHubにあったと思うぞ
まあ馬鹿はそういう機能を使うことも考えないのだろうが 学 ベストシステム(株)代表 札幌市中央区南2条西9丁目1-2サンケンビル4F
会社法人等番号 4300-01-015540 代表取締役 藤井学
取締役 椎名勝彦 藤井稔 恒松敏枝 石井純一 監査役 藤井靖子
■岡田トオル 2ちゃんねる削除人
■上田浩 東京プラス 取締役 2ちゃんねる削除人 (有)ユニット代表
■竹中直純 東京プラス取締役 未来検索ブラジル代表
東京都渋谷区代々木5丁目59番5号東信代々木ビル
■紀藤正樹 2chの影の顧問弁護士カルトと悪徳商法で金儲けする二枚舌、善人面男。
■中尾嘉宏 株式会社ゼロ・ピンクちゃんねる管理代表取締役会社法人番号4300?01?008942
札幌市厚別区中央二条五丁目2番1号クラスターユーエム2階
代表取締役中尾嘉宏 取締役中尾優美子 取締役藤井学 監査役中尾京子
札幌市厚別区もみじ台南七丁目5番10号 中尾嘉宏 自宅電話番号 011-897-7012
番号通知 会社電話番号 011-893-5871(番号通知)011-893-5873
番号通知・代表番号)011-893-5874FAX専用番号)011-893-7085(着信専用)
■西村博之 東京都新宿区新宿5-12-5 アクロス新宿602号室 携帯090-9849-9821
■西村国之 【博之の父親】現在甲府税務署勤務資産課税特別調査官
甲府税務署代表552?33?3111 FAX055?227?0614
関東財務局北新第2住宅 山梨県甲府市北新1?7-402号室
■西村明子 【博之の母親】東京都北区赤羽北2-31-16アクトピア壱号館1311号室
?03-3900-4360
マァブこと 藤井 学w や
FOXこと 中尾 ク
のおうちの情報も載ってますw 公開githubを倉庫代わりに使ってたら
アクセスキーが世界にジャストインタイムしちゃったの コンプラとか個人情報とか情報管理の手間考えたら結局gitlabが正義なんだよなぁ >>125
金融とか昔構築したシステム使い続けてるから一番怪しいだろ >>15
ディーラーに車預けたけど、そのディーラーは誰でも侵入できるようになってた
みたいな?? >>123
実際だいぶ前からシークレットっぽいのがあるのを検出して通知されるはず
トヨタは無視してたんじゃね >>134
おっと5ch専ブラ(APIキー)の悪口はそこまでだ >>74
今どきオブジェクト指向とか古くない?おじいちゃん? こういう例を無くしたければIT業界の多重請負のシステム潰さないとダメ そういうアクセスキーってGitで同期しない.envとかに格納すんじゃねーの? 自前でgitlab立てろよ。
なんで公開サービス使ってんのよ… >>127
Gitlabの方が総合的に進んだサービスなのは確かだ
一方Githubは無料プランでシークレットが設定できなかったりして(MS買収後可能になった)、
むしろ個人や弱小プログラマから課金厨死ねと思われてた
課金枠に置いては買収以前から最大手であって企業の使用は普通だよ gitlabについて調べようとするとgithubのことが出てくるからクソ >>41
GitLabてのがあってな
弊社ではそれを社内ホスティングしとるよ >>89
パッチ作成してアップロードする事で似たようなことができるものはある。
Git あるのにわざわざ使うのは今更感あるけどな。 GitHubじゃなくて自社でクラウド立ててそこにプッシュする仕組み作れよ デフォルトプライベートじゃなかったっけ
個人のレポジトリにあげたのか >>53
それはWikipediaでGitの開発歴史を調べろ >>162
2017年はまだプライベートリポジトリ有料だったはず 下のほうは中抜きされて
有料の金払えるほど貰えないからこうなるんだろ
馬鹿丸出しのゴミ国家
まあ馬鹿が統べてるから必至か itの下請けってかなり骨折り損みたいなイメージあるんだけど実際どうなん? 本体がやるべきことの不手際を下請けに押し付けてるだけだからな
一生この国のITは進化しない 少し前にもランサムウェアで全工場停止とかやってたし
ITリテラシー低すぎじゃない? アニメ公式なんか見てても
パートファイルなのにタイトルが半角と全角スペースが統一されてないとかあるからな
ガチで低知能猿が集まって作業してるのがわかるわ 国が何億回指摘されても多重下請け構造を規制する気ないんだから一生同じこと繰り返しとけよとしか トヨタくんソフトウェア軽視でテスラにぶち抜かれた事まだ自覚ないんだ? >>176
ソフトは最初からテスラの方が進んでるだろ トヨタ系転職で入ったけどIT関連はガチで遅れててビビった
現地に来てWeb会議やってるのも謎だし
今の日本の縮図みたいな感じ >>138
アホ?
古いどころかjsとかますますオブジェクト指向してきてるけど 開発環境が劣悪だと許されていないサービスやツールを使ってしまうんだよな >>178
まあ情報漏えい的には
下手に使うより
クローズドでやったほうがましだろな >>158
なんでそこまで金かけなきゃいけないんだとは思うけど、トヨタくらいでかい会社ならありと言えばありかもな
とはいえ、既存のサービスでも対応できること上にセキュリティやらなんやらを考えるとコスパ最悪だから
賢い方法とは言えないけどな >ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
データセンターサーバーのアクセスログ見て知らないIPアドレスからのログイン履歴あったのか? >>179
? 状態を秘匿するオブジェクト指向より関数型の方が好まれてるのが今のjsじゃないのか? >>167
その通りだと思うよ
日本では上流にいけない人間はIT業界に入るべきじゃない
上流に行けるくらいの人間ならとっとと別業種に行った方がいい というか、なんでパブリックリポジトリーに開発コード上げるんだろ。 chromiumにあったな
gitに上げるときパスワードらしき文字列があるかチェックするスクリプト >>186
コールバック地獄時代よりもモダンなPromiseの方が関数型ってことを言いたいのかよw
htmlだって完全なるオブジェクト指向だしRustですらもオブジェクト指向なのに一体どこのパラレルワールドだと古いのか >>188
だから具体名言ってみろよ
どうせRustが若干関数型に寄せてるからそう勘違いしてるだけだろ
そもそもRustも思いっきりオブジェクト指向言語なんだが ハッキングされたとかならまだしも管理体制がヤバすぎ 大人数開発になるとアクセスキーの共有がメンドウになるからソースコードに直接書く ←よくない
リポジトリ作るときにチェックボックスを間違えてパブリックにした ←よくない
GitHubから警告が来てるはずなのに5年に渡って無視し続けた ←アホ ネット黎明期から20年も経っててこれだからな
馬鹿が与党だとこういう国になるって見本 >>193
react/reduxはhaskell/elmのパクり
linqはモナド
ソッコーで思いつくのはこんなとこか >>198
まずイテレータ利用してる時点でド直球オブジェクト指向なんだが ■ このスレッドは過去ログ倉庫に格納されています