パスワードを忘れた? アカウント作成
11951731 story
セキュリティ

Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 7

ストーリー by hylom
クラウド時代の恐怖 部門より
insiderman 曰く、

タクシー配車サービスを提供する米Uberが、タクシードライバーの個人情報を漏洩させる事件が先日発生したが、これら個人情報が格納されているデータベースに接続するための情報が、誤ってGitHub上で公開されていたという話が出ている。

Ars Technicaによると、GitHubのリポジトリではなく、テキストやメモ、コードスニペットなどの公開に使われる機能「gist」上で、認証不要でドライバーの名前や運転免許証番号にアクセスできるセキュリティキーが公開されていたという。Uberによると、「Uberの関係者以外はこのファイルにアクセスできる権限はない」と述べているそうだが、2014年2月にUber従業員とは関係ないIPアドレスから、関係ないユーザーがこのファイルをダウンロードしていたことが明らかになったという。

ちなみに、gistにはアクセス制限機能はなく、「非公開」に設定してもそのURLが一覧ページに表示されず、直接URLを入力すればその内容にアクセスできる。そこらへんの罠にはまってしまったような気もする。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Uberは使ってないし、使う気もないけど、タクシー配車サービスっていう着眼点で展開がんばってること*だけ*はまあ、「よくやるなぁ」くらいに思ってる。
    ただダメダメすぎんね、これ。

    # 一応入れてある配車アプリは「全国タクシー配車」があるんだけど、Webで登録したクレカが(登録としての)期限が切れてそのままだ...まあいいか。

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      ・犯罪行為お構いなし
      ・詐欺同然の勧誘
      ・セキュリティ意識皆無

      クソ集団でFA

  • by Anonymous Coward on 2015年03月06日 20時21分 (#2773231)

    何とか言ってるから

    そもそもクラウドにアップした時点で情報漏えいだとなぜ気づかないのかと

    • by Anonymous Coward

      貸し金庫に機密書類を入れた時点で情報漏洩だよね。

      • by Anonymous Coward on 2015年03月07日 17時35分 (#2773667)

        貸し金庫とクラウドが同じだと思ってる奴に情報が渡った時点で情報漏洩。

        親コメント
      • by Anonymous Coward

        貸金庫にたとえるなら、クラウドっていうのは第三者に「貸金庫に入れておいて」と頼んで書類を渡すようなもの。

        相手は貸金庫に入れてくれるかもしれないけど、コインロッカーかもしれないし、自分で保管してるかもしれない。
        もっと酷い場合はコピーを売られてるかもしれない。

  • by Anonymous Coward on 2015年03月06日 21時34分 (#2773279)

    "一覧ページに表示されず、直接URLを入力すれば"

    "一覧ページに表示されなくなるだけで、直接URLを入力すれば"
    かな。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...