X
【IT】UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
0001少考さん ★
垢版 |
2022/11/10(木) 22:09:31.70ID:kJBH98iG
UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2211/10/news186.html

2022年11月10日 20時30分 公開 [ITmedia]

 有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。

https://image.itmedia.co.jp/news/articles/2211/10/l_mt1626333_IOJUYVHCGFX.jpg
UUUMのWebサイト

 6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。

 UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。

(略)

※省略していますので全文はソース元を参照して下さい。
0003名刺は切らしておりまして
垢版 |
2022/11/10(木) 22:12:37.84ID:2Tm4N8ga
個人だとたまにあるな。
しかし、ソース管理は社内pcか社内サーバでやった方が間違いが無いんじゃないか?
0006名刺は切らしておりまして
垢版 |
2022/11/10(木) 22:16:50.33ID:uMv67+jF
キーのファイルは.gitignoreファイルに書くんやで
小学生でもわかること
0008名刺は切らしておりまして
垢版 |
2022/11/10(木) 22:23:38.79ID:o0NFn9Zz
この際OSSにすればいい
世の中のためになるかならないかはクオリティ次第
別にGitHubで隠そうとするのがそもそも悪い
0010死神娘
垢版 |
2022/11/10(木) 22:32:00.13ID:+cHDu/7e
青木歌音のコメントが聞きたいな
0011名刺は切らしておりまして
垢版 |
2022/11/10(木) 22:38:35.94ID:gGZui4eN
youtuber国際問題
0012名刺は切らしておりまして
垢版 |
2022/11/10(木) 22:57:55.29ID:GI0RLJIW
GitHubをpublicにしてたって事

yotuberの人が管理してるの?
0013名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:00:34.80ID:GI0RLJIW
管理能力ないなら大人しくgitlabでネットワークから隔離しとけばいいのに
0015名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:09:54.81ID:/afJZSgU
>>12
パブリックにして何が悪いんだよ
世界の発展のためにはそれがいちばん
0016名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:13:04.47ID:/afJZSgU
GitHubは世界公開するのが大前提の仕組みだ
んで世界の誰からもチェックされてよければ使われてさらにこれがあるともっといいよとか追加してもらえてそれで世界のソフトウェアができてる
チェーンされず改良されないものはバグだらけ
今はなくとも世の中環境が変わると変えないことがバグ持ちになる
日本のコロナアプリがそれ
0017名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:13:40.98ID:/afJZSgU
隠しておこうなんて発想が優位な日本が世界最低になる理由の一つ
0018名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:14:43.17ID:/afJZSgU
>>13
最初から公開すればいちばん
0019名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:15:45.21ID:/afJZSgU
公開しちゃいけない>>6は当たり前だけどね
0020名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:21:25.50ID:INV0vjim
gitlabつかえよドケチが
0023名刺は切らしておりまして
垢版 |
2022/11/10(木) 23:46:44.23ID:PpN8SdLb
youtuberなんて顔出しで身元もバレてるようなもんだけど
大手Vtuberの個人情報が全部流れたら大事だなw
0026名刺は切らしておりまして
垢版 |
2022/11/11(金) 04:37:10.23ID:3bvRAfHo
これGitHubを公開してたんじゃなくてGitHubはプライベートにしていたけど認証キーが流出した(可能性がある)話じゃないの?
0027名刺は切らしておりまして
垢版 |
2022/11/11(金) 06:23:00.41ID:NfL1XvwG
>>26
それだな鍵は掛けてたけど
鍵をHPのサイトのどこかに、郵便ポストの中に入れる感じでいつでも開けられるようにしてたんだろ
0029名刺は切らしておりまして
垢版 |
2022/11/11(金) 06:50:39.18ID:egtJcWlR
正直大した問題じゃなくね
UUUMだからってこと?
githubのキーが公開されていたって
ツリーを改変されたのか?
0031名刺は切らしておりまして
垢版 |
2022/11/11(金) 07:39:09.86ID:1rsIzCC8
>>16
ふむ。その仕組みに公開してはいけないものを保存するのがおかしい。という話では?
0033名刺は切らしておりまして
垢版 |
2022/11/11(金) 07:57:26.87ID:qEgVmQlS
>>25
評価する
0034名刺は切らしておりまして
垢版 |
2022/11/11(金) 07:57:31.85ID:aCx0y7O7
Gitがローカルでサーバすら不要で使えることすら知らんやつ大杉
口先だけだもんなお前ら
0036名刺は切らしておりまして
垢版 |
2022/11/11(金) 08:21:57.01ID:5IRr7tmK
>>35
友達いなくてローカル開発しかできないんだよ

わかってやれよ
0037名刺は切らしておりまして
垢版 |
2022/11/11(金) 08:50:26.29ID:28lYZocR
>>27
こういうことなんだろうけど、アホすぎるな。
まあ、この会社的に大した情報はGitHubにはないんだろうけど。
0038名刺は切らしておりまして
垢版 |
2022/11/11(金) 08:53:27.94ID:28lYZocR
ああ、でも、個人情報が漏洩しているのか。
0039名刺は切らしておりまして
垢版 |
2022/11/11(金) 08:55:49.90ID:28lYZocR
パスワードとかをリポジトリに加えていたっぽいけど、そうでなくても、CIとか回していたら、やりたい放題だろうからなあ。
0040名刺は切らしておりまして
垢版 |
2022/11/11(金) 08:58:03.30ID:5IRr7tmK
なるほどね


どっかの脆弱サーバが丸見えで、そこにGitHubのid、 passが置いてあった


それで、GitHubログインしたら、アホみたいに秘密情報をリボジリトリあげててワロタwww

となったと言うことね


要するに全部ダメダメだっと言うことか
0042名刺は切らしておりまして
垢版 |
2022/11/11(金) 10:14:25.90ID:2WxjpAMy
GitHubは文系のゴミ箱ではありません。
非技術的な連中はデータをアップしないでください。
0043名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:09:04.64ID:BeG0cYRA
DBのアクセスキーが漏洩するだけで誰でも外部からDBに接続できる状態になってんの?
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね?
俺なら怖くてできないな、それ
0044名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:20:18.62ID:UZhIkw2q
そもそもなんでパブリック使ってるんだよ
0045名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:25:57.37ID:hbA8jey4
ssh-keygen
0047名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:46:16.92ID:p1e+XRBL
>>2
さすがに2で来たかw
0048名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:46:59.54ID:p1e+XRBL
>>46
見たことないのか?
0049名刺は切らしておりまして
垢版 |
2022/11/11(金) 11:51:17.98ID:5tnDDqho
>>43
まあそこは
> 個人情報へのアクセスは確認されなかったとしている。
ってなってるからさすがに外部からの接続はできなかったと信じたい
0052名刺は切らしておりまして
垢版 |
2022/11/11(金) 15:46:39.95ID:TCvcoAPl
>>51
> dbアクセスキーをソース直書きって初心者やん

それな
初心者以下よな
0053名刺は切らしておりまして
垢版 |
2022/11/11(金) 18:58:02.45ID:FJK/O/Yw
飛鳥『だから気をつけろと言ったろ?』
0054名刺は切らしておりまして
垢版 |
2022/11/11(金) 19:49:39.05ID:U2yY7uAL
舐めるな!

ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ!
0056名刺は切らしておりまして
垢版 |
2022/11/11(金) 21:29:10.52ID:khS6Hftt
流石はソニー
0058名刺は切らしておりまして
垢版 |
2022/11/12(土) 02:56:08.41ID:v6tziOPr
こういうミスは実際なかなか防げないよね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね
0059名刺は切らしておりまして
垢版 |
2022/11/12(土) 04:15:56.45ID:OmPVDigm
>>55
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。
0060名刺は切らしておりまして
垢版 |
2022/11/12(土) 04:19:43.05ID:OmPVDigm
ただ、いずれにしても、GitHubの権限(どのくらい厳密に絞り込んでいたかだけど、推して知るべしだよね)を取得されていたら、フロントエンドを含めやりたい放題なので、漏洩以降のデータはデータベースに繋がずとも取得し放題にはなるのかなと。
この間のショーケースの事例みたいに。
0061名刺は切らしておりまして
垢版 |
2022/11/12(土) 04:23:07.88ID:OmPVDigm
>>59までやらない場合は設定ファイルを別に保存して、.gitignoreにそのファイル名を書き込んでリポジトリには含まれないようにするとか。
0062名刺は切らしておりまして
垢版 |
2022/11/12(土) 07:53:51.85ID:LfJEKpQj
GitHubの認証キーをどうやってweb公開しちゃったのかを検証報告書に書いてもらいたいな
置き場所間違えたのか、外部サービス連携用だったのかとか
0065名刺は切らしておりまして
垢版 |
2022/11/12(土) 12:46:32.99ID:gnZTlC4Q
ウチはテストでも直書きなんてしたら怒られるわ
0068名刺は切らしておりまして
垢版 |
2022/11/13(日) 01:27:41.70ID:1Gjugy7B
個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールなどに注意するよう呼び掛けている。

つまりDBには顧客情報があったと
0069名刺は切らしておりまして
垢版 |
2022/11/13(日) 01:33:04.66ID:1Gjugy7B
これ

ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。

とあって

ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。

ってなってるけど、DB自体どこからでもアクセスできたってこと?それはさすがにやばくね?
0070名刺は切らしておりまして
垢版 |
2022/11/13(日) 16:19:02.88ID:uP2hoccw
>>69
>個人情報へのアクセスは確認されなかったとしている。

だからフィルターして防いでた可能性は残るね
0072名刺は切らしておりまして
垢版 |
2022/11/13(日) 23:26:07.63ID:GPhIk6TF
>>70
フィルターしてなかったからアクセスできる状態にあったのでは?漏洩の有無とアクセス制限の有無は別だと思うよ
0074新規スレ立て人募集 社説+の募集スレまで
垢版 |
2023/01/08(日) 19:59:22.10ID:q8ec4BfA
ソニーといえばおもらし
0075新規スレ立て人募集 社説+の募集スレまで
垢版 |
2023/01/11(水) 15:24:11.20ID:Use6ZbUY
開発メンバーはそのファイルが証明書や鍵かどうかなんて認識すらせず
あるもの全部PUSHしてじまう。 毎度そう。そんで流出する。

どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。

.gitignore強制とかできんのかな。
0077名刺は切らしておりまして
垢版 |
2023/02/08(水) 11:51:39.79ID:lDg56jvi

0078名刺は切らしておりまして
垢版 |
2023/02/08(水) 11:52:18.61ID:lDg56jvi

0079名刺は切らしておりまして
垢版 |
2023/02/08(水) 13:52:50.99ID:mrJgubR/
個人情報を売り渡した後で流出しましたと言い訳すれば、お詫びは一人当たり500円以下で済む
0080名刺は切らしておりまして
垢版 |
2023/02/08(水) 14:36:44.12ID:jwrHIW3B
早晩消えてなくなるような水商売上場。
問題になりそう。
0081名刺は切らしておりまして
垢版 |
2023/02/08(水) 17:29:12.08ID:RYRQkbVP
ごめん今更なんだけどGITHUBってなに?3行で教えて
0082名刺は切らしておりまして
垢版 |
2023/02/11(土) 13:20:29.50ID:GjcnmWiP
>>81
世界最大級の技術者向けSNS
みんなで仲良くプログラム書いたり公開したり配布したりする
英語ができればとても楽しい
0083名刺は切らしておりまして
垢版 |
2023/03/01(水) 23:37:51.75ID:2Eve7wh6
マジかよ夕闇に誘いし漆黒の天使達最低だな
0085名刺は切らしておりまして
垢版 |
2023/04/17(月) 13:06:31.22ID:6yyleg3p
社内でもhttpsじゃねーと
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。
0086名刺は切らしておりまして
垢版 |
2023/04/17(月) 14:30:07.24ID:nKiv65m+
ビジネスニュースが自然と集まってくるスレ。

ここを見ておけば!経済情報はバッチリ!

◆スレ立て依頼スレ@ビジネスnews+[2/15-] [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1676457026/
0088名刺は切らしておりまして
垢版 |
2023/04/17(月) 15:46:06.67ID:UB1xTMMh
>>80
UUUM、今期最終を一転87%減益に下方修正

UUUM <3990> [東証G] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6%減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6%下方修正し、一転して86.6%減益見通しとなった。

会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。

直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2%→-0.3%に大幅悪化した。



ちなみに株価も過去最安値
昨日今日で20%近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ
0089名刺は切らしておりまして
垢版 |
2023/04/29(土) 00:53:28.03ID:ghNMBnsH
>>1
これ何がヤバいの?
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況