【IT】UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2211/10/news186.html
2022年11月10日 20時30分 公開 [ITmedia]
有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
https://image.itmedia.co.jp/news/articles/2211/10/l_mt1626333_IOJUYVHCGFX.jpg
UUUMのWebサイト
6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。
(略)
※省略していますので全文はソース元を参照して下さい。 個人だとたまにあるな。
しかし、ソース管理は社内pcか社内サーバでやった方が間違いが無いんじゃないか? キーのファイルは.gitignoreファイルに書くんやで
小学生でもわかること この際OSSにすればいい
世の中のためになるかならないかはクオリティ次第
別にGitHubで隠そうとするのがそもそも悪い GitHubをpublicにしてたって事
yotuberの人が管理してるの? 管理能力ないなら大人しくgitlabでネットワークから隔離しとけばいいのに 本の一ヶ月前にも類似の事故があったよな
「T-Connect」のユーザーサイトのソースコード(コンピューターの処理を記述したテキスト文)の一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認いたしました。
https://global.toyota/jp/newsroom/corporate/38095972.html >>12
パブリックにして何が悪いんだよ
世界の発展のためにはそれがいちばん GitHubは世界公開するのが大前提の仕組みだ
んで世界の誰からもチェックされてよければ使われてさらにこれがあるともっといいよとか追加してもらえてそれで世界のソフトウェアができてる
チェーンされず改良されないものはバグだらけ
今はなくとも世の中環境が変わると変えないことがバグ持ちになる
日本のコロナアプリがそれ 隠しておこうなんて発想が優位な日本が世界最低になる理由の一つ 呪文ばっかりでなんの話か
さっぱりわからない(*´;ェ;`*) youtuberなんて顔出しで身元もバレてるようなもんだけど
大手Vtuberの個人情報が全部流れたら大事だなw これGitHubを公開してたんじゃなくてGitHubはプライベートにしていたけど認証キーが流出した(可能性がある)話じゃないの? >>26
それだな鍵は掛けてたけど
鍵をHPのサイトのどこかに、郵便ポストの中に入れる感じでいつでも開けられるようにしてたんだろ ガラの悪いグリコのおっさん二人がトップページなのか 正直大した問題じゃなくね
UUUMだからってこと?
githubのキーが公開されていたって
ツリーを改変されたのか? >>16
ふむ。その仕組みに公開してはいけないものを保存するのがおかしい。という話では? Gitがローカルでサーバすら不要で使えることすら知らんやつ大杉
口先だけだもんなお前ら >>34
GitHubの認証キーが漏れたって話なのになにトンチンカンなこと言ってるんだよw >>35
友達いなくてローカル開発しかできないんだよ
わかってやれよ >>27
こういうことなんだろうけど、アホすぎるな。
まあ、この会社的に大した情報はGitHubにはないんだろうけど。 パスワードとかをリポジトリに加えていたっぽいけど、そうでなくても、CIとか回していたら、やりたい放題だろうからなあ。 なるほどね
どっかの脆弱サーバが丸見えで、そこにGitHubのid、 passが置いてあった
それで、GitHubログインしたら、アホみたいに秘密情報をリボジリトリあげててワロタwww
となったと言うことね
要するに全部ダメダメだっと言うことか GitHubは文系のゴミ箱ではありません。
非技術的な連中はデータをアップしないでください。 DBのアクセスキーが漏洩するだけで誰でも外部からDBに接続できる状態になってんの?
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね?
俺なら怖くてできないな、それ ヒカキンからサングラス取り上げたらどうなるんだろうか >>43
まあそこは
> 個人情報へのアクセスは確認されなかったとしている。
ってなってるからさすがに外部からの接続はできなかったと信じたい >>51
> dbアクセスキーをソース直書きって初心者やん
それな
初心者以下よな 舐めるな!
ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ! こういうミスは実際なかなか防げないよね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね >>55
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。 ただ、いずれにしても、GitHubの権限(どのくらい厳密に絞り込んでいたかだけど、推して知るべしだよね)を取得されていたら、フロントエンドを含めやりたい放題なので、漏洩以降のデータはデータベースに繋がずとも取得し放題にはなるのかなと。
この間のショーケースの事例みたいに。 >>59までやらない場合は設定ファイルを別に保存して、.gitignoreにそのファイル名を書き込んでリポジトリには含まれないようにするとか。 GitHubの認証キーをどうやってweb公開しちゃったのかを検証報告書に書いてもらいたいな
置き場所間違えたのか、外部サービス連携用だったのかとか >>62
放置とか書いてるぐらいだから間違って置いたかテスト用に置いたやつの消し忘れとかじゃね? >>35
仕事で使ったことがないやつなんだよ、許してやってくれ 個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールなどに注意するよう呼び掛けている。
つまりDBには顧客情報があったと これ
ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
とあって
ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
ってなってるけど、DB自体どこからでもアクセスできたってこと?それはさすがにやばくね? >>69
>個人情報へのアクセスは確認されなかったとしている。
だからフィルターして防いでた可能性は残るね >>70
フィルターしてなかったからアクセスできる状態にあったのでは?漏洩の有無とアクセス制限の有無は別だと思うよ 開発メンバーはそのファイルが証明書や鍵かどうかなんて認識すらせず
あるもの全部PUSHしてじまう。 毎度そう。そんで流出する。
どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。
.gitignore強制とかできんのかな。 個人情報を売り渡した後で流出しましたと言い訳すれば、お詫びは一人当たり500円以下で済む 早晩消えてなくなるような水商売上場。
問題になりそう。 ごめん今更なんだけどGITHUBってなに?3行で教えて >>81
世界最大級の技術者向けSNS
みんなで仲良くプログラム書いたり公開したり配布したりする
英語ができればとても楽しい 社内でもhttpsじゃねーと
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。 ビジネスニュースが自然と集まってくるスレ。
ここを見ておけば!経済情報はバッチリ!
◆スレ立て依頼スレ@ビジネスnews+[2/15-] [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1676457026/ 公開しないコードなのになんでGitHub使うんだ? >>80
UUUM、今期最終を一転87%減益に下方修正
UUUM <3990> [東証G] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6%減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6%下方修正し、一転して86.6%減益見通しとなった。
会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。
直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2%→-0.3%に大幅悪化した。
ちなみに株価も過去最安値
昨日今日で20%近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ 大多数の一般の人には影響の無い話だから問題ないだろ。 ■ このスレッドは過去ログ倉庫に格納されています