トヨタ「GitHubにソースコード載せてたから客のメアド情報5年間流出し続けてたわ」30万件漏洩 [817260143]
■ このスレッドは過去ログ倉庫に格納されています
トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
10/7(金) 16:59配信
トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。
https://news.yahoo.co.jp/articles/bee8b5c21c6aedb1fae66d32ece3b611f5e0e28b ソースと一緒に個人情報載せること自体がありえんし
よく分からん下請けの雑魚エンジニア使うとこういうリスクあるってこと 余計なことしたな
アホで馬鹿でクズで間抜けで生きている価値のない無能に便利な物を使わせると
そいつが産まれてきたことが間違いと言える惨事を引き起こす 契約会社という名の下請けに安くやらせてるから当然起こり得るよな >>326
いや1ミスじゃ漏洩しなくなるんだから関係あるだろ 実務やってる末端はリソース無しのドブラックなんだから、うっかりミスだろうと根本的な知識不足だろうと起こりえる環境なんだよ
ダブルチェックとかの基本的なことすらリソース的にできてないんだろう多分
こんなんIT業界の多重下請構造自体を直さん限り何回でも続くわ >>319
それもそうだしそもそもアクセスキー入ったのコミットするとエラーはくアドオンあるのに使ってないのもアホ
その手のアホを探すボットが徘徊してるからもう流出してるだろ
というか5年も気づかれなかったってことは
ソース自体はほんとにどうでもいい箇所だったんだろうな そもそもgitにアクセスできないように制限かけておくべきかなとは思うけどな >>340
今そんなことしたらCで書いてても動かなくなる
サブモジュールDLできない >>289
俺的正義を言われても現実見えてないねとしか 委託先を攻撃したろと思ったら既にとんでもない穴があったでござる トヨタも丸投げsierに丸投げしてるのかよ
日本企業はIT関係の丸投げが染み付きすぎだろ
孫請けのなんの責任もない人間に社内の機密情報触らせんなよ 休み明けにいろんな会社でリポジトリの公開設定とアクセスキー載っけてないかの調査指示がでるんだろう >>342
現実見えてねえとかそういう話ではない
不適切な取り扱いと言ってるってことはそもそもgitにあげちゃいけないルールってことだ
それを俺的正義とかいうってるお前は頭おかしい >>350
公開されてるところにあげちゃいけないだけで
別にgitがダメかどうかなんて言ってないでしょ 人間に依存するルールとか頭悪いな
ゴミみたいな仕様のシステム作ってそう トヨタって自社の決済もやってなかったっけ?
大丈夫かいな >>139
>1も2017年から流出、とか書いてるしアスカが正しかったんか・・・ 顧客情報はクラウド上のDBなのかな
そこへのアクセスキーが漏洩したと >>53
部分変更履歴もわからんSVNで管理とかプロジェクト人数2人ってとこか? ソースコードにデータ直打ちするなって習わなかったのか? > ソースコードにはデータサーバへのアクセスキーが含まれ
これは頭悪すぎる > ソースコードの不適切な取り扱いが原因
ちげえわw アクセスキーをハードコードしてるのがありえねんだわ Githubはログインすれば誰でもコード検索できるからね
検索演算子もGoogle並に充実してるから割と容易にこの手のアホは見つかってしまう
最近はGithub側が警告出してるって聞くけど、どうかな こんなお粗末なデータ管理しかできない会社が
自動運転車作ってるんだぜ… >>276
サービス仕様によるけど個人情報を参照するようなものは自社サーバから間接的にアクセスするものだから
普通はアクセス元の制限するよIPなりなんなりで T-connectって車用wifi使い放題のアレか ソースコードにハードコーディングはしないけどめんどくさいなときは認証情報入った設定ファイルも含めちゃうわ >>85
.envに本番で使うアクセスキー書く時点で終わっとる >>373
confidentialsでも.ファイルに書くって話ならどこでも同じ話なんだけど
お前アスペ? >>374
本番設定をファイル直書きとかねーわ
レベル低すぎ >>374
お前が杜撰な機密情報管理してることだけはわかったわ どんなにセキュリティーがちがちな固めても、はーい、皆さーん、今の流行はgithubですよー、いつまでyyyymmddやsubversion使ってるんですかー?笑われますよーと煽ってやると、他社のサーバにバカスカ、コードをコミットする日本人、ちょろいやつらだ
インフラSEがどんなに頑張ってもダメ 色々アレだが、アクセスキーをgitに上げてる時点で既におかしい ■ このスレッドは過去ログ倉庫に格納されています