パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される」記事へのコメント

  • by Anonymous Coward on 2019年07月31日 18時18分 (#3661331)

    人的セキュリティホールってのも立派なシステム脆弱性だと思うのですが

    #こんなこと言われても「じゃあそういう従業員を雇うような会社なのか」「辞めたあとに報復?されるような待遇なのか」って思われるだけでは

    • Capital OneがAmazon S3の設定をミスって全公開にしていたのが原因なので、AWSの脆弱性でもないし、容疑者が元AWS従業員であることも本質的には関係ないということ

      親コメント
    • 「site:amazonaws.com」「site:リージョンサーバー名.aws.amazon.com」で検索してみ、ダウンロード販売ややばい個人情報データも含めていろんなファイル見れるから
      公開設定になってるとアマゾン側はサーバーの全ファイルのインデックス返してそれをGoogleがクロールしちゃう。この辺の対策何もやってないわけですよ。
      各自が非公開にするかrobots.txt作って弾けば解決する話ではあるが。

      親コメント
    • by Anonymous Coward

      そのうち思想調査とか必須になってくるのか・・・
      何をしたら(何を基準としたら)そういうのクリアできるんだろうね

      • by Anonymous Coward on 2019年07月31日 18時59分 (#3661362)

        昔の日本の地方銀行などは良家の子女限定って処があったらしいです。
        まともな金融機関だとサラ金で一回でも借りたことがあると駄目だという噂もありましたね。
        要は金に困ったことがあるような人間に大金を扱わせるのは怖い。

        親コメント
        • by Anonymous Coward

          信用金庫で働いていた妹曰く、「やらかしても回収できる可能性が高い」ってのも大きいらしいよ。

      • by Anonymous Coward

        そのうち思想調査とか必須になってくるのか・・・
        何をしたら(何を基準としたら)そういうのクリアできるんだろうね

        ・運用担当従業員のキータッチをすべて記録・監視して業務以外の動きをしたら拘束する
         ・上記の監視員についても独立監視員を配置し2重チェックを行い客観性を担保する
        ・運用担当従業員に視線を記録する眼鏡をつけるように契約を結ばせ以下、同上
        ・入室/退室時に全裸にしてケ○の穴まで検査してデータ持ち出しがないか調べる
        ・不定期的に異性もしくは同性の好みのエージェントと出会いをもたせ、誘惑に負けるかどうか検査する。なお「合体」に至る前に接触は切断する
        ・不定期的に家族を誘拐し、以下同上
        ・不定期に本人を拘束し、尋問対策訓練を実行する

        これで情報漏洩しない従業員で構成される会社だったら信頼できるんじゃないでしょうか

        労基的に生き残れないでしょうけど

        • by Anonymous Coward

          合体に至る前に切断するって、くノ一みたいだな―

          #もう帰りたい。

      • by Anonymous Coward

        その手の対策としては例えば「単独で扱わせない」ってノウハウがはるか昔からありますよね。
        他にも作業のログとかも当然、「作業者が必ずしも信用できるとは限らない」ってのは考慮の内です。

    • by Anonymous Coward

      AWSじゃなくて銀行の人的セキュリティホールですね。
      AWSは金庫と鍵を用意しただけ、借りた銀行が金庫と鍵を使っていたが、ある日、銀行員がその正規の鍵を使って金庫を開けて中身を盗んだ。
      金庫屋に出来た対策を考えてみるのも良いとは思うけれど。

      • by Anonymous Coward

        そのたとえ話って今回の件となんか関係あるの?

        • by Anonymous Coward

          例え話に例え話で返して「関係あんの」って返して意味あんの?

          • by Anonymous Coward

            簡単に言うと「お前なに言ってんの?」ですかね。
            capital oneの設定ミスって話があるので、「銀行の人的セキュリティホール」てのは良いのですが、その後のズレた例え話の意味が分からないって事かと。
            例え話?を今回の事件をに合わせるなら「借りた銀行は金庫に鍵をかけずに使ってて、ある日、金庫屋の元社員(3年前に退職)が銀行が借りてた金庫から中身を盗んだ。」かな。

            そもそも人的セキュリティホールは例え話じゃないような?
            金庫云々も犯人が違うし、例えてないような?

      • by Anonymous Coward

        一般的に、内部犯行は、企業の内部統制、ガバナンスの欠如と解される。
        物理・ITに依らず、重要な施設の運用・操作では、日常的に、カメラでの監視(作業者の監視のためね。
        ITなら監査ログの日常的分析)とか、違反行動への警報発報導入は当然だし、
        究極的には操作する担当者の身辺調査導入も「対策」の範疇に入る。
        心理・信条・家計状況に関する調査やアンケートをクリアしないと特定の業務には就かせない、とかね。
        再発防止策では、当然、そういった傾向の社員を雇用しないよう、雇用時の身辺調査などが強化される。
        SNSや趣味での活動状況など、ね。

        あと、架空話持ち出すまでもなく、実在の話で例えればいい。

      • by Anonymous Coward

        容疑者としてAWSの元従業員が拘束されたとありますよ。

        導入した金庫の中の小人さんが勝手に盗み出した訳で、そんなのが金庫に住み着いていたなんて銀行側にとっちゃ寝耳に水でしょう。

        銀行員さんは悪くないと思うのです。

      • by Anonymous Coward

        被害を受けた側の公式発表に、「我々は問題を修正し」とあるので、人的セキュリティホールではないよ。
        原文:"What we've done\n\nCapital One immediately fixed the issue and promptly began working with federal law enforcement. "
        #1行にまとめたかったので改行コード使っちゃったけど、読めるよね

        • by Anonymous Coward

          fixedって人的セキュリティホールで公開設定にしてあったのを非公開にしただけだろ
          違うん?

      • by Anonymous Coward

        AWS使ってる時点でセキュリティについては察し。

      • by Anonymous Coward

        顧客からすればそれらを含めたサービスを購入してんだから、分ける事には意味が無い。
        全てひっくるめて「AWSのサービスのセキュリティホール」だわ。

        AWSのシステムの脆弱性で無かったとしてもね。

      • by Anonymous Coward

        穴を見つけたらデータを抜く様な奴が運用側に居るってのは、AWSのセキュリティホールでも有るだろ。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...