パスワードを忘れた? アカウント作成
13965720 story
情報漏洩

オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 45

ストーリー by hylom
管理がずさんなのは分かった 部門より

セブン&アイ・ホールディングスが提供しているスマートフォン向けアプリ「オムニ7アプリ」のソースコードがGitHubで一般公開されていた可能性があるとBusiness Insider JAPANが報じている。

記事によると、このソースコードは2015年5~7月頃に公開されたとみられており、その後更新されることなく公開されていたが、2019年7月10日ごろに削除されていたという。

また、削除後もそこからフォークされたコードがGitHub上に残っていたためか、NTT DATA MSEからDMCAに基づく削除申請が出ていたことも確認されている。

このソースコード中には外部IDを使ったログインに必要なトークンなども含まれていたが、このトークンだけでは悪用できないとの指摘もある

  • 季節の風物詩 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2019年07月24日 19時05分 (#3657400)
    研修を終えて配属された新人にオンプレでgitサーバ立ててって指示すると
    なぜかプロジェクトの全ソースをgithubにアップロードしてしまうという。
    ここに返信
    • by Anonymous Coward

      Githubを買収したMSですらGithub業務使用非推奨してるのに、なぜオープンで使っちゃう会社があるんだろう。
      Github使ってる俺カッコエー、昔関わったプロジェクトの実績をうpしてあるから見てくれってことかな

      • by Anonymous Coward on 2019年07月25日 3時37分 (#3657633)

        そんなレベルの高い(!)問題じゃなくて、単にgitとGitHubの区別がついてないって話でしょ

      • by Anonymous Coward

        Github使用経験があると就職に有利になるんですよ。

        冗談みたいな話だが、何度も聞かれたことあるんだよなー
        「GitHub使ったことありますか?」

        • Re:季節の風物詩 (スコア:2, おもしろおかしい)

          by Anonymous Coward on 2019年07月24日 22時33分 (#3657525)

          githubが当たり前だと思ってるのを弾くためかも知れない
          # 弊社はファイル名に日付を付けて管理しています

          • by Anonymous Coward on 2019年07月25日 1時43分 (#3657615)

            弊社、PC-98上のdBaseで作られたシステムが3台現役稼働してて、
            そこから定期的にデータ抜き出してエクセル方眼紙に貼り付けてファイル名に日付とバージョン番号付けて管理してるわ…

          • by Anonymous Coward

            たとえばSubversionで10年以上やってきて、履歴もあるのに、無理してGitHubに
            置き換えるメリットってなんですかね。逆に単に最近創業したばかりで、導入時期が
            遅かったからなんとなくGitという会社だってあるじゃろし

            いずれにせよ、それは前の職場がそれを導入していた。その導入時期と経緯についての
            参考にはなるかも知れないけど、それと組織の文化や開発者のスキルとは関係ないでしょ。

            「前職で使ってたバージョン管理システム」くらいなら参考になるかも知れないけど、
            GitHubだけを神聖視して別格扱いする理由が理解できない。

            • by Anonymous Coward

              PullRequestかな。マジレスすると。
              あとは履歴検索とかマージパフォーマンスもあるけれど。

              分散バージョン管理? そんなのはどうでも良い。

            • by Anonymous Coward

              ブランチ頻繁に切るとか、
              非共有の作業をしつつもバージョン管理したいときとか。

              履歴に関しては手間はかかるみたいだけど変換して引き継ぐって選択肢もあると思う。

            • by Anonymous Coward

              SubversionとGitHubって比較する対象じゃないでしょ。
              もしかしてgitとGitHubの区別ついてない?

            • by Anonymous Coward

              SubversionとGitでできる事は全く違う。
              分散型はそれ自体にはさほどの魅力は無いように感じられるが、
              分散型というシステムが生み出すダイナミックなコミット履歴の結合、編集、移送は、
              一度それを覚えてしまうと旧来の集中型はとても無価値なものに見えるようになる。

        • by Anonymous Coward

          不利だったかもしれねえ…

      • by Anonymous Coward

        元コメはパブリックレポジトリとは書いてないと思うんだが。ツッコミどころは「オンプレで」と指示したにもかかわらずなぜかGitHubを使うってところでしょ。SVNならこういう事故の起きる余地がないというメリットがあるな(白目)。むろんSVNレポジトリーを提供するクラウドサービスはOSDNを始めとして数多くあるが、それらをSVNそのものと混同するはずがない

      • by Anonymous Coward

        この件はGithubを使う必要性がなさそうだな。svnやcvsが嫌というならgit使えばいいだけだし。

    • by Anonymous Coward

      新人にgitサーバ立てさせるのかよ。
      っていうかgitサーバって何だ?
      今時平文gitプロトコルなんて使わないだろ。

      • by Anonymous Coward on 2019年07月24日 21時02分 (#3657492)

        Gitの公式ドキュメントでは、リモートのGitリポジトリの事をGitサーバーと呼んでいる
        だからどうしたって話ではあるが

      • by Anonymous Coward

        別に社内のイントラネットで使う分には平文gitプロトコルでいいんじゃない?
        外からアクセスしたけりゃVPN使えばいいわけだし。

      • by Anonymous Coward

        リモートリポジトリを置くサーバ以外に何が。

        多分、指示した人は、GitLab辺りのセットアップを想定して指示したと思うけどね。
        (公式dockerイメージを使えば簡単に立てられるのでたいした難易度じゃない)

    • by Anonymous Coward

      オンプレが、オンプレミスではなくオープンプレースだと思った…とか?

    • by Anonymous Coward

      ビルド時に開発環境が外部との通信前提な時代だから
      違和感めちゃ少ないのかもしれんねえ

    • by Anonymous Coward

      オンプレでって書いてあるのに。。。
      #みんな、元コメはしっかり読もうぜ!

  • by Anonymous Coward on 2019年07月25日 7時42分 (#3657667)

    NTTデータじゃなくてNTTデータMSE [nttd-mse.com]だからな。

    株主構成
    株式会社NTTデータ 45%
    パナソニック株式会社 40%
    株式会社デンソー 15%

    ここに返信
  • by Anonymous Coward on 2019年07月24日 19時00分 (#3657396)

    これで開発元が完全にバレてしまったわけだ

    ここに返信
    • 記事のコメント者から、アプリ開発者だというのは濡れ衣だという指摘。
      アプリに使われたSDKの権利者だからだと。

      https://twitter.com/masanork/status/1153904055363624960 [twitter.com]、2019年7月24日

      • by Anonymous Coward

        それだったらディレクトリまるごと削除する必要はないんじゃないの?

        • by Anonymous Coward

          リポジトリに含まれるファイル一つの問題でも、
          それを完全に配信停止したらリポジトリ自体が不完全となって利用不能になる。
          エラーコードも特殊な物にするハメになるし、
          だったらリポジトリ毎封鎖するほうが楽。

    • by Anonymous Coward

      このJustTianって中華人がどうやって入手したか調べた方がいいのでは

      • by Anonymous Coward

        普通に中の人か外注で受けただけでしょ。

      • by Anonymous Coward

        私の知る狭い世界では、NTT DATAの仕事をやったことがある人はネガティブな印象持ってる率が高い(というか良い話を聞いたことがない)
        私怨で漏らした人がいたりしそう

      • by Anonymous Coward

        まだキャッシュやアーカイブサイトで削除前のページが確認できますが
        先にiナントカ氏がgithubに上げていたものをforkしただけです。
        forkのみで一度もcommitした様子はないですし、中の人どころか単なる第三者という可能性も。

        • by Anonymous Coward

          この方、他にもforkしただけのものがいくつかありますね。

    • by Anonymous Coward

      これで開発元が完全にバレてしまったわけだ

      でNTTデータは自社じゃなくて下請けに投げてその下請けが別の下請けに・・・

      いったい何次だったんだろう

  • by Anonymous Coward on 2019年07月24日 19時35分 (#3657426)

    親切な人がプルリクエスト投げてくれたかもしれないのに...

    ここに返信
    • by Anonymous Coward

      まったく
      オープンソースのままなら、セキュリティばっちりだった

      • by Anonymous Coward

        ていうか、5年も同じシステム使ってることってあるの?
        今動いてるのと比べたらほとんどコード置き換わってるじゃないのか?
        歴史的資料として保護してもいいんじゃ

        • by Anonymous Coward

          デザインやら、追加のデータやらは改修で何度か発生するかもしれんが、
          既に動いて実績がある場合、ソースのロジック部の9割は公開時そのまま修正入れる必要ない事が多いかと

          サービスインした後の改修で実施される変更なんてデザインの除けば数行の変更の積み重ねだし

  • by Anonymous Coward on 2019年07月24日 20時01分 (#3657447)

    アプリからデータが漏れてるって話があったような。
    でも直接金に関わるアプリじゃなかったから大事にならなかったとか。

    ここに返信
    • by Anonymous Coward

      アプリからデータが漏れてるって話があったような。

      それはデータが漏れてた、ではないと思いますよ。
      今回問題になったパスワード再設定部分が、7pay導入以前から存在していたので、アカウントリスト攻撃などを以前から受けていた可能性があるのではないか?という話かと。

  • by Anonymous Coward on 2019年07月24日 20時12分 (#3657453)
    検索すると未だ出てくるね
    でもtop以外はなくてソース読めないぽいかな?
    ここに返信
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...