アカウント名:
パスワード:
社内調査により、原因として、弊社グループ社員以外の内部者(データベースにアクセスできる権限を持つ者)の関与を推定しております
って、派遣社員を疑ってるってことかな? もし「派遣の者にDBアクセス権限を持たせていた」としたら、システム運用がかなりマズイってことになりそうです。
権限は渡してなかったけど、「ディスプレイに貼ったメモ」とかでパスワードがばれた、とかいうパターンもありそうですが、その場合は「内部者(データベースにアクセスできる権限を持つ者)」って表現にはならないよなぁ…
朝日新聞7月10日付の朝刊から引用します。
「危険性は感じていた」と話すのは3年前、派遣社員としてベネッセのシステム開発に関わったという東京都の男性(37)。開発時には他企業ではテストデータを使うことが多いが、ベネッセでは実在の個人情報をそのまま使うことがあったという。「数十社からの派遣社員がいた。そこから漏れても不思議ではない」
別件でテストデータの調達に苦労する話を聞いたことはありますが、ベネッセでは個人情報の扱いが簡単だから苦労しなくて済んだようですね(白目)。
ベネッセでは実在の個人情報をそのまま使うことがあった
うわー、そら思いっきりダメダメですね。「個人情報を適切に管理」できてないってことでPマーク剥奪では…と思ったら、システム運用を請け負ってるシンフォームはPマークを2001年に取得したものの、2011年に返上 [synform.co.jp]してるんですね…
私が前にやった某社のネットサービスでは修正したプログラムのテストを本番環境でやってくれと言われてパスワードを教えてもらったよ……
カード情報とか暗号化せずにそのまま入ってるんだけどいいのか?と聞いたら開発してる人が悪いことをしないと言う想定なんだと言われて唖然としたよ。(私がその気になれば情報引っこ抜いて売り払えるじゃないかと)
テストを本番環境でやれと言う時点でかなりアレではあったけど(本番環境のクローンを用意しろと言ったけど予算の都合で却下された)世の中にはこんないい加減なのも普通にあるという恐るべき事実が。
某超大手金融機関のシステムで本番環境にリリースするときに管理者権限貰いました。後ろに社員が立ってないといけなかったんですが、「なんかあったら呼んで」と言ってどこかに行ってしまいました。やばすぎる。
10年以上前から、テストで本番データ使うことはなくしたはず。当時はすごく面倒くさかったです。権限管理とかもけっこう厳しい方だと思うよ。それテストじゃなくてEDPじゃないですかね?
あと社員と派遣さんとの間には、そんなにはモラルの差はないな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
弊社グループ社員以外の内部者 (スコア:1)
って、派遣社員を疑ってるってことかな? もし「派遣の者にDBアクセス権限を持たせていた」としたら、システム運用がかなりマズイってことになりそうです。
権限は渡してなかったけど、「ディスプレイに貼ったメモ」とかでパスワードがばれた、とかいうパターンもありそうですが、その場合は「内部者(データベースにアクセスできる権限を持つ者)」って表現にはならないよなぁ…
Re:弊社グループ社員以外の内部者 (スコア:2)
朝日新聞7月10日付の朝刊から引用します。
別件でテストデータの調達に苦労する話を聞いたことはありますが、ベネッセでは個人情報の扱いが簡単だから苦労しなくて済んだようですね(白目)。
Re:弊社グループ社員以外の内部者 (スコア:2)
うわー、そら思いっきりダメダメですね。「個人情報を適切に管理」できてないってことでPマーク剥奪では…と思ったら、
システム運用を請け負ってるシンフォームはPマークを2001年に取得したものの、2011年に返上 [synform.co.jp]してるんですね…
Re: (スコア:0)
私が前にやった某社のネットサービスでは
修正したプログラムのテストを本番環境でやってくれと言われてパスワードを教えてもらったよ……
カード情報とか暗号化せずにそのまま入ってるんだけどいいのか?と聞いたら
開発してる人が悪いことをしないと言う想定なんだと言われて唖然としたよ。
(私がその気になれば情報引っこ抜いて売り払えるじゃないかと)
テストを本番環境でやれと言う時点でかなりアレではあったけど
(本番環境のクローンを用意しろと言ったけど予算の都合で却下された)
世の中にはこんないい加減なのも普通にあるという恐るべき事実が。
Re:弊社グループ社員以外の内部者 (スコア:2)
Re: (スコア:0)
某超大手金融機関のシステムで本番環境にリリースするときに管理者権限貰いました。
後ろに社員が立ってないといけなかったんですが、「なんかあったら呼んで」と言ってどこかに行ってしまいました。
やばすぎる。
Re: (スコア:0)
10年以上前から、テストで本番データ使うことはなくしたはず。当時はすごく面倒くさかったです。権限管理とかもけっこう厳しい方だと思うよ。
それテストじゃなくてEDPじゃないですかね?
あと社員と派遣さんとの間には、そんなにはモラルの差はないな。