GitHubは文系のゴミ箱ではありません。
非技術的な連中はデータをアップしないでください。
DBのアクセスキーが漏洩するだけで誰でも外部からDBに接続できる状態になってんの?
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね?
俺なら怖くてできないな、それ
0044名刺は切らしておりまして2022/11/11(金) 11:20:18.62ID:UZhIkw2q
そもそもなんでパブリック使ってるんだよ
0045名刺は切らしておりまして2022/11/11(金) 11:25:57.37ID:hbA8jey4
ssh-keygen
ヒカキンからサングラス取り上げたらどうなるんだろうか
0047名刺は切らしておりまして2022/11/11(金) 11:46:16.92ID:p1e+XRBL
0048名刺は切らしておりまして2022/11/11(金) 11:46:59.54ID:p1e+XRBL
>>43
まあそこは
> 個人情報へのアクセスは確認されなかったとしている。
ってなってるからさすがに外部からの接続はできなかったと信じたい 0052名刺は切らしておりまして2022/11/11(金) 15:46:39.95ID:TCvcoAPl
>>51
> dbアクセスキーをソース直書きって初心者やん
それな
初心者以下よな 0053名刺は切らしておりまして2022/11/11(金) 18:58:02.45ID:FJK/O/Yw
飛鳥『だから気をつけろと言ったろ?』
0054名刺は切らしておりまして2022/11/11(金) 19:49:39.05ID:U2yY7uAL
舐めるな!
ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ!
0056名刺は切らしておりまして2022/11/11(金) 21:29:10.52ID:khS6Hftt
流石はソニー
0058名刺は切らしておりまして2022/11/12(土) 02:56:08.41ID:v6tziOPr
こういうミスは実際なかなか防げないよね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね
0059名刺は切らしておりまして2022/11/12(土) 04:15:56.45ID:OmPVDigm
>>55
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。 0060名刺は切らしておりまして2022/11/12(土) 04:19:43.05ID:OmPVDigm
ただ、いずれにしても、GitHubの権限(どのくらい厳密に絞り込んでいたかだけど、推して知るべしだよね)を取得されていたら、フロントエンドを含めやりたい放題なので、漏洩以降のデータはデータベースに繋がずとも取得し放題にはなるのかなと。
この間のショーケースの事例みたいに。
0061名刺は切らしておりまして2022/11/12(土) 04:23:07.88ID:OmPVDigm
>>59までやらない場合は設定ファイルを別に保存して、.gitignoreにそのファイル名を書き込んでリポジトリには含まれないようにするとか。 0062名刺は切らしておりまして2022/11/12(土) 07:53:51.85ID:LfJEKpQj
GitHubの認証キーをどうやってweb公開しちゃったのかを検証報告書に書いてもらいたいな
置き場所間違えたのか、外部サービス連携用だったのかとか
>>62
放置とか書いてるぐらいだから間違って置いたかテスト用に置いたやつの消し忘れとかじゃね? 0065名刺は切らしておりまして2022/11/12(土) 12:46:32.99ID:gnZTlC4Q
ウチはテストでも直書きなんてしたら怒られるわ
>>35
仕事で使ったことがないやつなんだよ、許してやってくれ 個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールなどに注意するよう呼び掛けている。
つまりDBには顧客情報があったと
これ
ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
とあって
ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
ってなってるけど、DB自体どこからでもアクセスできたってこと?それはさすがにやばくね?
>>69
>個人情報へのアクセスは確認されなかったとしている。
だからフィルターして防いでた可能性は残るね >>70
フィルターしてなかったからアクセスできる状態にあったのでは?漏洩の有無とアクセス制限の有無は別だと思うよ 0074新規スレ立て人募集 社説+の募集スレまで2023/01/08(日) 19:59:22.10ID:q8ec4BfA
ソニーといえばおもらし
開発メンバーはそのファイルが証明書や鍵かどうかなんて認識すらせず
あるもの全部PUSHしてじまう。 毎度そう。そんで流出する。
どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。
.gitignore強制とかできんのかな。
0077名刺は切らしておりまして2023/02/08(水) 11:51:39.79ID:lDg56jvi
0078名刺は切らしておりまして2023/02/08(水) 11:52:18.61ID:lDg56jvi
個人情報を売り渡した後で流出しましたと言い訳すれば、お詫びは一人当たり500円以下で済む
0080名刺は切らしておりまして2023/02/08(水) 14:36:44.12ID:jwrHIW3B
早晩消えてなくなるような水商売上場。
問題になりそう。
0081名刺は切らしておりまして2023/02/08(水) 17:29:12.08ID:RYRQkbVP
ごめん今更なんだけどGITHUBってなに?3行で教えて
0082名刺は切らしておりまして2023/02/11(土) 13:20:29.50ID:GjcnmWiP
>>81
世界最大級の技術者向けSNS
みんなで仲良くプログラム書いたり公開したり配布したりする
英語ができればとても楽しい 0083名刺は切らしておりまして2023/03/01(水) 23:37:51.75ID:2Eve7wh6
マジかよ夕闇に誘いし漆黒の天使達最低だな
0085名刺は切らしておりまして2023/04/17(月) 13:06:31.22ID:6yyleg3p
社内でもhttpsじゃねーと
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。
0086名刺は切らしておりまして2023/04/17(月) 14:30:07.24ID:nKiv65m+
公開しないコードなのになんでGitHub使うんだ?
0088名刺は切らしておりまして2023/04/17(月) 15:46:06.67ID:UB1xTMMh
>>80
UUUM、今期最終を一転87%減益に下方修正
UUUM <3990> [東証G] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6%減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6%下方修正し、一転して86.6%減益見通しとなった。
会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。
直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2%→-0.3%に大幅悪化した。
ちなみに株価も過去最安値
昨日今日で20%近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ 0089名刺は切らしておりまして2023/04/29(土) 00:53:28.03ID:ghNMBnsH
大多数の一般の人には影響の無い話だから問題ないだろ。