【IT】UUUMがGitHub上で情報漏えいの可能性　認証キーをWebサーバに放置 [少考さん★]

**少考さん ★** · 2022/11/10(木) 22:09:31.70

UUUMがGitHub上で情報漏えいの可能性　認証キーをWebサーバに放置 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2211/10/news186.html

2022年11月10日 20時30分公開　[ITmedia]

　有名YouTuberなどが多数所属するマネジメント事務所のUUM（東京都港区）は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。

https://image.itmedia.co.jp/news/articles/2211/10/l_mt1626333_IOJUYVHCGFX.jpg
UUUMのWebサイト

　6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。

　UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。

（略）

※省略していますので全文はソース元を参照して下さい。

**名刺は切らしておりまして** · 2022/11/11(金) 09:09:44.44

ヒカキンのとこだっけ？

**名刺は切らしておりまして** · 2022/11/11(金) 10:14:25.90

GitHubは文系のゴミ箱ではありません。
非技術的な連中はデータをアップしないでください。

**名刺は切らしておりまして** · 2022/11/11(金) 11:09:04.64

DBのアクセスキーが漏洩するだけで誰でも外部からDBに接続できる状態になってんの？
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね？
俺なら怖くてできないな、それ

**名刺は切らしておりまして** · 2022/11/11(金) 11:20:18.62

そもそもなんでパブリック使ってるんだよ

**名刺は切らしておりまして** · 2022/11/11(金) 11:25:57.37

ssh-keygen

**名刺は切らしておりまして** · 2022/11/11(金) 11:32:19.36

ヒカキンからサングラス取り上げたらどうなるんだろうか

**名刺は切らしておりまして** · 2022/11/11(金) 11:46:16.92

>>2
さすがに2で来たかw

**名刺は切らしておりまして** · 2022/11/11(金) 11:46:59.54

>>46
見たことないのか？

**名刺は切らしておりまして** · 2022/11/11(金) 11:51:17.98

>>43
まあそこは
> 個人情報へのアクセスは確認されなかったとしている。
ってなってるからさすがに外部からの接続はできなかったと信じたい

**名刺は切らしておりまして** · 2022/11/11(金) 13:58:48.35

>>46
普段からサングラスしてないだろ

**名刺は切らしておりまして**(埼玉県) · 2022/11/11(金) 14:55:10.24

dbアクセスキーをソース直書きって初心者やん

**名刺は切らしておりまして** · 2022/11/11(金) 15:46:39.95

>>51
> dbアクセスキーをソース直書きって初心者やん

それな
初心者以下よな

**名刺は切らしておりまして** · 2022/11/11(金) 18:58:02.45

飛鳥『だから気をつけろと言ったろ？』

**名刺は切らしておりまして** · 2022/11/11(金) 19:49:39.05

舐めるな！

ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ！

**名刺は切らしておりまして** · 2022/11/11(金) 19:56:19.55

>>51-52
どうすれば正解なの？

**名刺は切らしておりまして** · 2022/11/11(金) 21:29:10.52

流石はソニー

**名刺は切らしておりまして** · 2022/11/11(金) 22:59:48.99

唸らざるを得ない

**名刺は切らしておりまして** · 2022/11/12(土) 02:56:08.41

こういうミスは実際なかなか防げないよね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね

**名刺は切らしておりまして** · 2022/11/12(土) 04:15:56.45

>>55
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。

**名刺は切らしておりまして** · 2022/11/12(土) 04:19:43.05

ただ、いずれにしても、GitHubの権限（どのくらい厳密に絞り込んでいたかだけど、推して知るべしだよね）を取得されていたら、フロントエンドを含めやりたい放題なので、漏洩以降のデータはデータベースに繋がずとも取得し放題にはなるのかなと。
この間のショーケースの事例みたいに。

**名刺は切らしておりまして** · 2022/11/12(土) 04:23:07.88

>>59までやらない場合は設定ファイルを別に保存して、.gitignoreにそのファイル名を書き込んでリポジトリには含まれないようにするとか。

**名刺は切らしておりまして** · 2022/11/12(土) 07:53:51.85

GitHubの認証キーをどうやってweb公開しちゃったのかを検証報告書に書いてもらいたいな
置き場所間違えたのか、外部サービス連携用だったのかとか

**名刺は切らしておりまして** · 2022/11/12(土) 11:29:58.28

>>25
ﾜﾗﾀ
いいツッコミだ

**名刺は切らしておりまして** · 2022/11/12(土) 12:22:27.57

>>62
放置とか書いてるぐらいだから間違って置いたかテスト用に置いたやつの消し忘れとかじゃね？

**名刺は切らしておりまして** · 2022/11/12(土) 12:46:32.99

ウチはテストでも直書きなんてしたら怒られるわ

**名刺は切らしておりまして** · 2022/11/12(土) 14:06:50.25

ルイはスプライブなのになんで登山してるんだ？

**名刺は切らしておりまして** · 2022/11/13(日) 01:24:16.12

>>35
仕事で使ったことがないやつなんだよ、許してやってくれ

**名刺は切らしておりまして** · 2022/11/13(日) 01:27:41.70

個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールなどに注意するよう呼び掛けている。

つまりDBには顧客情報があったと

**名刺は切らしておりまして** · 2022/11/13(日) 01:33:04.66

これ

ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。

とあって

ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。

ってなってるけど、DB自体どこからでもアクセスできたってこと？それはさすがにやばくね？

**名刺は切らしておりまして** · 2022/11/13(日) 16:19:02.88

>>69
>個人情報へのアクセスは確認されなかったとしている。

だからフィルターして防いでた可能性は残るね

**名刺は切らしておりまして** · 2022/11/13(日) 21:19:03.78

アクセスログはちゃんと取っていたのかな？

**名刺は切らしておりまして** · 2022/11/13(日) 23:26:07.63

>>70
フィルターしてなかったからアクセスできる状態にあったのでは？漏洩の有無とアクセス制限の有無は別だと思うよ

**名刺は切らしておりまして** · 2022/11/14(月) 08:21:47.67

どこから閲覧できるか明記されてないしな

2023/01/08(日) 19:59:22.10

ソニーといえばおもらし

2023/01/11(水) 15:24:11.20

開発メンバーはそのファイルが証明書や鍵かどうかなんて認識すらせず
あるもの全部PUSHしてじまう。　毎度そう。そんで流出する。

どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。

.gitignore強制とかできんのかな。

**名刺は切らしておりまして** · 2023/02/04(土) 12:19:15.00

>>75
勝手に拡張子変えるやつもいるしな

**名刺は切らしておりまして** · 2023/02/08(水) 11:51:39.79

**名刺は切らしておりまして** · 2023/02/08(水) 11:52:18.61

**名刺は切らしておりまして** · 2023/02/08(水) 13:52:50.99

個人情報を売り渡した後で流出しましたと言い訳すれば、お詫びは一人当たり500円以下で済む

**名刺は切らしておりまして** · 2023/02/08(水) 14:36:44.12

早晩消えてなくなるような水商売上場。
問題になりそう。

**名刺は切らしておりまして** · 2023/02/08(水) 17:29:12.08

ごめん今更なんだけどGITHUBってなに？3行で教えて

**名刺は切らしておりまして** · 2023/02/11(土) 13:20:29.50

>>81
世界最大級の技術者向けSNS
みんなで仲良くプログラム書いたり公開したり配布したりする
英語ができればとても楽しい

**名刺は切らしておりまして** · 2023/03/01(水) 23:37:51.75

マジかよ夕闇に誘いし漆黒の天使達最低だな

**名刺は切らしておりまして** · 2023/03/02(木) 00:05:13.13

プライベートリポジトリでも漏れるもんなの？

**名刺は切らしておりまして** · 2023/04/17(月) 13:06:31.22

社内でもhttpsじゃねーと
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。

**名刺は切らしておりまして** · 2023/04/17(月) 14:30:07.24

ビジネスニュースが自然と集まってくるスレ。

ここを見ておけば！経済情報はバッチリ！

◆スレ立て依頼スレ@ビジネスnews+[2/15-] [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1676457026/

**名刺は切らしておりまして** · 2023/04/17(月) 15:07:11.24

公開しないコードなのになんでGitHub使うんだ？

**名刺は切らしておりまして** · 2023/04/17(月) 15:46:06.67

>>80
ＵＵＵＭ、今期最終を一転87％減益に下方修正

ＵＵＵＭ <3990> [東証Ｇ] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6％減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6％下方修正し、一転して86.6％減益見通しとなった。

会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。

直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2％→-0.3％に大幅悪化した。

ちなみに株価も過去最安値
昨日今日で20％近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ

**名刺は切らしておりまして** · 2023/04/29(土) 00:53:28.03

>>1
これ何がヤバいの？

**名刺は切らしておりまして** · 2023/04/30(日) 10:45:47.38

大多数の一般の人には影響の無い話だから問題ないだろ。

**名刺は切らしておりまして** · 2023/05/06(土) 22:51:35.16

株価えらいことになってんな