トヨタ「GitHubにソースコード載せてたから客のメアド情報5年間流出し続けてたわ」30万件漏洩 [817260143]

[0001 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b3af-w8WQ) 2022/10/08(土) 14:24:24.60 ID:i6mA/1/D0]

トヨタ、ユーザーのメアド約30万件漏えいの可能性　ソースコードの一部、GitHubに5年間放置

10/7(金) 16:59配信

　トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。

　2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。

　原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。

　トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。

　トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。

　該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。

https://news.yahoo.co.jp/articles/bee8b5c21c6aedb1fae66d32ece3b611f5e0e28b

[0329 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 6fd2-SlpP) 2022/10/08(土) 21:53:34.88 ID:649rlwfv0]

ソースと一緒に個人情報載せること自体がありえんし
よく分からん下請けの雑魚エンジニア使うとこういうリスクあるってこと

[0330 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 3a8c-kHT+) 2022/10/08(土) 22:15:34.88 ID:q7RTAlMc0]

ソースを読まない人って多いんだね

[0331 池田大作 (ﾜｯﾁｮｲ 4a4d-ehet) 2022/10/08(土) 22:57:12.84 ID:fYUhXSIc0]

アホやろ
アホのトヨタや

[0332 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 6fd2-0bkW) 2022/10/08(土) 23:17:32.74 ID:YbV3/9Xh0]

余計なことしたな
アホで馬鹿でクズで間抜けで生きている価値のない無能に便利な物を使わせると
そいつが産まれてきたことが間違いと言える惨事を引き起こす

[0333 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b3af-7xR0) 2022/10/08(土) 23:31:05.83 ID:1Cf9Cc0X0]

契約会社という名の下請けに安くやらせてるから当然起こり得るよな

[0334 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW cbaf-od5m) 2022/10/09(日) 00:12:30.91 ID:UYolxBwr0]

>>326
いや1ミスじゃ漏洩しなくなるんだから関係あるだろ

[0335 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 9fb7-zauZ) 2022/10/09(日) 00:13:25.72 ID:mzsy4v4Y0]

詫び石はよ

[0336 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 4e87-TheM) 2022/10/09(日) 00:30:57.71 ID:xaw8ZNhG0]

詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ詫びろ

[0337 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ cbaf-mdlF) 2022/10/09(日) 00:34:12.55 ID:S5WRkCND0]

こんな間違いするならブレーキも…

[0338 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 63d2-Z31o) 2022/10/09(日) 00:35:45.61 ID:q8Vxvrge0]

実務やってる末端はリソース無しのドブラックなんだから、うっかりミスだろうと根本的な知識不足だろうと起こりえる環境なんだよ
ダブルチェックとかの基本的なことすらリソース的にできてないんだろう多分
こんなんIT業界の多重下請構造自体を直さん限り何回でも続くわ

[0339 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 1b8f-kICw) 2022/10/09(日) 01:10:02.89 ID:Evk4lDhP0]

>>319
それもそうだしそもそもアクセスキー入ったのコミットするとエラーはくアドオンあるのに使ってないのもアホ
その手のアホを探すボットが徘徊してるからもう流出してるだろ

というか5年も気づかれなかったってことは
ソース自体はほんとにどうでもいい箇所だったんだろうな

[0340 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW cbaf-Mqln) 2022/10/09(日) 01:19:58.55 ID:5cc+0FXV0]

そもそもgitにアクセスできないように制限かけておくべきかなとは思うけどな

[0341 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW cbaf-TUNH) 2022/10/09(日) 01:51:00.81 ID:54cPsTCb0]

>>340
今そんなことしたらCで書いてても動かなくなる
サブモジュールDLできない

[0342 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 9e05-zauZ) 2022/10/09(日) 02:18:56.62 ID:0Eny4pMC0]

>>289
俺的正義を言われても現実見えてないねとしか

[0343 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 3a8c-6YyG) 2022/10/09(日) 02:27:16.09 ID:tqtbk/+L0]

TCさんさぁ…ｗ

[0344 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 67a2-iLUm) 2022/10/09(日) 02:29:38.55 ID:wkI1tjY50]

変なメールが届くのはトヨタのせいか

[0345 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 1bdc-3fXN) 2022/10/09(日) 03:02:45.59 ID:Vds/Hhlz0]

委託先を攻撃したろと思ったら既にとんでもない穴があったでござる

[0346 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ defd-cZVB) 2022/10/09(日) 03:14:47.26 ID:QzLWeOB10]

なんでわかったん

[0347 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 4a23-aMFN) 2022/10/09(日) 04:06:20.24 ID:CFrsCC/50]

トヨタも丸投げsierに丸投げしてるのかよ
日本企業はIT関係の丸投げが染み付きすぎだろ
孫請けのなんの責任もない人間に社内の機密情報触らせんなよ

[0348 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 9f2d-OX2o) 2022/10/09(日) 04:14:13.28 ID:FG8C6O2u0]

休み明けにいろんな会社でリポジトリの公開設定とアクセスキー載っけてないかの調査指示がでるんだろう

[0349 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b3af-Xrst) 2022/10/09(日) 04:23:48.99 ID:IwR/ccnW0]

自分たちでやれよ…金あるくせに

[0350 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW cbaf-Mqln) 2022/10/09(日) 08:37:10.84 ID:5cc+0FXV0]

>>342
現実見えてねえとかそういう話ではない
不適切な取り扱いと言ってるってことはそもそもgitにあげちゃいけないルールってことだ
それを俺的正義とかいうってるお前は頭おかしい

[0351 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 5f44-aKmz) 2022/10/09(日) 08:43:45.91 ID:ji1jXX/z0]

>>350
公開されてるところにあげちゃいけないだけで
別にgitがダメかどうかなんて言ってないでしょ

[0352 番組の途中ですがアフィサイトへの転載は禁止です (ｱｳｱｳｳｰ Sa2f-sID7) 2022/10/09(日) 08:46:37.69 ID:j36ZeOQka]

人間に依存するルールとか頭悪いな
ゴミみたいな仕様のシステム作ってそう

[0353 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0642-91Xk) 2022/10/09(日) 09:18:19.95 ID:4Lz68R/U0]

夜叉孫受けからフリーランスあたりに発注したのかな

[0354 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0bb1-F8yI) 2022/10/09(日) 09:22:49.56 ID:yD1D0jzW0]

>>341
https://docs.conan.io/en/latest/index.html
Conan使えや

[0355 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ f3a2-kEV8) 2022/10/09(日) 09:25:19.10 ID:SNWAi4DQ0]

トヨタって自社の決済もやってなかったっけ？
大丈夫かいな

[0356 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW de67-/WJo) 2022/10/09(日) 10:23:09.83 ID:CHlI6qzg0]

>>320
馬鹿は知らなくていいよ

[0357 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 5e9f-kHT+) 2022/10/09(日) 10:25:53.68 ID:mlKYXkQS0]

>>139
>1も2017年から流出、とか書いてるしアスカが正しかったんか・・・

[0358 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b3af-O3YF) 2022/10/09(日) 10:32:10.15 ID:6oBkBF7S0]

三次受け四次受けまで行くと無理ゲーだな

[0359 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 6fd2-nw+R) 2022/10/09(日) 11:03:00.70 ID:JjV4WH4M0]

顧客情報はクラウド上のDBなのかな
そこへのアクセスキーが漏洩したと

[0360 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 6fd2-VbeS) 2022/10/09(日) 11:32:29.15 ID:nMLnfpfW0]

詫び石はよ

[0361 番組の途中ですがアフィサイトへの転載は禁止です (ｽｯﾌﾟ Sd8a-O3YF) 2022/10/09(日) 11:38:02.65 ID:Ahs+Wez3d]

>>53
部分変更履歴もわからんSVNで管理とかプロジェクト人数2人ってとこか？

[0362 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 1b63-eOAw) 2022/10/09(日) 11:39:31.43 ID:x8k/6yGL0]

ソースコードにデータ直打ちするなって習わなかったのか？

[0363 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 1b63-eOAw) 2022/10/09(日) 11:41:52.94 ID:x8k/6yGL0]

> ソースコードにはデータサーバへのアクセスキーが含まれ
これは頭悪すぎる

[0364 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ c6b1-j20P) 2022/10/09(日) 11:43:01.74 ID:/wj2NzNu0]

> ソースコードの不適切な取り扱いが原因
ちげえわｗ アクセスキーをハードコードしてるのがありえねんだわ

[0365 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 0656-1yeT) 2022/10/09(日) 11:45:41.56 ID:JB2UzcQd0]

Githubはログインすれば誰でもコード検索できるからね
検索演算子もGoogle並に充実してるから割と容易にこの手のアホは見つかってしまう
最近はGithub側が警告出してるって聞くけど、どうかな

[0366 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ b3af-p1Iq) 2022/10/09(日) 14:25:21.33 ID:wRhidBvq0]

こんなお粗末なデータ管理しかできない会社が
自動運転車作ってるんだぜ…

[0367 番組の途中ですがアフィサイトへの転載は禁止です (ｻｻｸｯﾃﾛﾗ Sp03-9IHp) 2022/10/09(日) 14:44:12.19 ID:ClMt4/sJp]

やっぱりマツダしかねーな

[0368 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ c6a2-3fXN) 2022/10/09(日) 14:47:52.36 ID:Rk2JDTqc0]

振り込むしか無いんよ(´；ω；｀)

[0369 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW c6a2-MEzR) 2022/10/09(日) 17:05:38.65 ID:VQp1tu440]

>>276
サービス仕様によるけど個人情報を参照するようなものは自社サーバから間接的にアクセスするものだから
普通はアクセス元の制限するよIPなりなんなりで

[0370 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW c6a2-MEzR) 2022/10/09(日) 17:06:49.05 ID:VQp1tu440]

>>347
一応NDA書かせてるだろ

[0371 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0f67-c10A) 2022/10/09(日) 17:07:53.99 ID:HrJkb7WC0]

T-connectって車用wifi使い放題のアレか

[0372 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0ba2-Zc4S) 2022/10/09(日) 19:21:23.79 ID:iGMzx/r40]

ソースコードにハードコーディングはしないけどめんどくさいなときは認証情報入った設定ファイルも含めちゃうわ

[0373 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 3a87-tXc8) 2022/10/09(日) 19:48:11.07 ID:H2gks+V60]

>>85
.envに本番で使うアクセスキー書く時点で終わっとる

[0374 番組の途中ですがアフィサイトへの転載は禁止です 2022/10/10(月) 01:15:37.53]

>>373
confidentialsでも.ファイルに書くって話ならどこでも同じ話なんだけど
お前アスペ？

[0375 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 3a87-tXc8) 2022/10/10(月) 01:55:07.59 ID:Xt6hLmWh0]

>>374
本番設定をファイル直書きとかねーわ
レベル低すぎ

[0376 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 3a87-tXc8) 2022/10/10(月) 02:05:06.49 ID:Xt6hLmWh0]

>>374
お前が杜撰な機密情報管理してることだけはわかったわ

[0377 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0608-hMT3) 2022/10/10(月) 02:25:09.20 ID:nfTjQ/+00]

どんなにセキュリティーがちがちな固めても、はーい、皆さーん、今の流行はgithubですよー、いつまでyyyymmddやsubversion使ってるんですかー？笑われますよーと煽ってやると、他社のサーバにバカスカ、コードをコミットする日本人、ちょろいやつらだ

インフラSEがどんなに頑張ってもダメ

[0378 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 3a87-zauZ) 2022/10/10(月) 02:41:01.22 ID:JbL/Mh4W0]

え

[0379 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW de8f-Ufo8) 2022/10/10(月) 07:57:02.74 ID:PCJwbDTR0]

色々アレだが、アクセスキーをgitに上げてる時点で既におかしい