Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 7
ストーリー by hylom
クラウド時代の恐怖 部門より
クラウド時代の恐怖 部門より
insiderman 曰く、
タクシー配車サービスを提供する米Uberが、タクシードライバーの個人情報を漏洩させる事件が先日発生したが、これら個人情報が格納されているデータベースに接続するための情報が、誤ってGitHub上で公開されていたという話が出ている。
Ars Technicaによると、GitHubのリポジトリではなく、テキストやメモ、コードスニペットなどの公開に使われる機能「gist」上で、認証不要でドライバーの名前や運転免許証番号にアクセスできるセキュリティキーが公開されていたという。Uberによると、「Uberの関係者以外はこのファイルにアクセスできる権限はない」と述べているそうだが、2014年2月にUber従業員とは関係ないIPアドレスから、関係ないユーザーがこのファイルをダウンロードしていたことが明らかになったという。
ちなみに、gistにはアクセス制限機能はなく、「非公開」に設定してもそのURLが一覧ページに表示されず、直接URLを入力すればその内容にアクセスできる。そこらへんの罠にはまってしまったような気もする。
あ、アホすぎ (スコア:1)
Uberは使ってないし、使う気もないけど、タクシー配車サービスっていう着眼点で展開がんばってること*だけ*はまあ、「よくやるなぁ」くらいに思ってる。
ただダメダメすぎんね、これ。
# 一応入れてある配車アプリは「全国タクシー配車」があるんだけど、Webで登録したクレカが(登録としての)期限が切れてそのままだ...まあいいか。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
・犯罪行為お構いなし
・詐欺同然の勧誘
・セキュリティ意識皆無
クソ集団でFA
パスワード管理もクラウドで (スコア:0)
何とか言ってるから
そもそもクラウドにアップした時点で情報漏えいだとなぜ気づかないのかと
Re: (スコア:0)
貸し金庫に機密書類を入れた時点で情報漏洩だよね。
Re:パスワード管理もクラウドで (スコア:1)
貸し金庫とクラウドが同じだと思ってる奴に情報が渡った時点で情報漏洩。
Re: (スコア:0)
貸金庫にたとえるなら、クラウドっていうのは第三者に「貸金庫に入れておいて」と頼んで書類を渡すようなもの。
相手は貸金庫に入れてくれるかもしれないけど、コインロッカーかもしれないし、自分で保管してるかもしれない。
もっと酷い場合はコピーを売られてるかもしれない。
文脈的に (スコア:0)
"一覧ページに表示されず、直接URLを入力すれば"
は
"一覧ページに表示されなくなるだけで、直接URLを入力すれば"
かな。