パスワードを忘れた? アカウント作成
15057910 story
情報漏洩

日産の社内ツールやソースコードがサーバーの設定ミスで流出 36

ストーリー by nagazou
やらかし 部門より

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様(ZDNetGIGAZINE)。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

  • Nissan NA Mobile apps(日産NAモバイルアプリ)
  • some parts of the Nissan ASIST diagnostics tool(日産アシスト診断ツールの一部)
  • the Dealer Business Systems / Dealer Portal(ディーラービジネスシステム・ディーラーポータル)
  • Nissan internal core mobile library(日産の内部コアモバイルライブラリ)
  • Nissan/Infiniti NCAR/ICAR services(日産インフィニティのNCAR/ICARサービス)
  • client acquisition and retention tools(顧客獲得と保持のためのツール)
  • sale / market research tools + data(営業とマーケティング調査のツールとデータ)
  • various marketing tools(さまざまなマーケティングツール)
  • the vehicle logistics portal(車両ロジスティクスポータル)
  • vehicle connected services / Nissan connect things(自動車の接続サービス関連)
  • and various other backends and internal tools(その他のバックエンドと内部ツール)
  • by Anonymous Coward on 2021年01月08日 14時14分 (#3955264)

    日産でもこういう時のチェック体制無いんだろうか。

    技術情報が命の会社なんだから、作業者とは別に、監督者かチェック部門みたいなのがパスワードの状況含めてセキュリティーチェックとかしてるもんだと。

    ここに返信
  • by Anonymous Coward on 2021年01月08日 14時33分 (#3955275)

    オープンソースとして開発するのも手なんじゃないかと。。。

    #管理もできない体たらくに脆弱性がないはずが無い

    ここに返信
    • by Anonymous Coward

      車屋のソフトウェアてば外の人が見たらウンザリするようなクソの塊、非効率逐次コードの織物でオープンとか恥ずかしくて不可能なんじゃね?
      流出物見たわけじゃ無いけどさ

      • by Anonymous Coward
        見てもいないににクソとか言ってるガキが作ったオモチャをでっかくした乗り物に命預けたくねー
        • by Anonymous Coward

          クソはクソでもバグの少ないクソですよね。

      • by Anonymous Coward

        車屋のソフトウェアが非効率逐次コードの織物なら
        IT屋がソフトウェア書いたらasync/awaitのチェーンで統計的に高効率なコードになるんだろうか

        それはそれで乗りたくねえ

        • by Anonymous Coward

          よくわからないのだけども、
          逐次処理と並列化可能な処理が効率化に寄与し、
          そして、効率的か否かと車の安全性に
          何の関連性があるのでしょうか?、

          # 安全性のためなら、計算機を多数乗せるのは
          # 並列化ではなく多重化が目的じゃないの?

    • by Anonymous Coward

      ソースもいいけど、秘密鍵ほしいです

    • by Anonymous Coward

      需要の無いものはオープンにしても手が入ることはないな。
      オープンソースで生きてるのなんてごく一部だし。

      使う人が不満があったときに自分で直すという場面も
      この手のだとほとんど無いだろうし。

    • 内部向けのツールとかオープンソースにする意味ってあるの?

  • by Anonymous Coward on 2021年01月08日 14時57分 (#3955291)

    ローカルIPのサーバーにしてVPNでしか繋がらないようにすれば良いんじゃね?
    って思うんだけど、違うのかねぇ。

    ここに返信
    • by Anonymous Coward

      そのVPNがadmin/adminでつながってたかもしれないだけの話では?

      • by Anonymous Coward

        まあそういうミスもありがちですね。
        あとはローカルからしかアクセスできないようにしたつもりとか。

  • by Anonymous Coward on 2021年01月08日 15時02分 (#3955293)

    admin/admin のまま運用してたんだから確信犯じゃないの?

    他の社内システムもadmin/adminで入れそう

    ここに返信
    • by Anonymous Coward

      admin/admin のまま運用してたんだから確信犯じゃないの?

      他の社内システムもadmin/adminで入れそう

      任命設定のミスですのであっていますね

      # 権限と責任がセットでない組織にありがち

  • by Anonymous Coward on 2021年01月08日 15時07分 (#3955298)

    イントラネット上に置いとけば、情報流出リスクを大きく下げられるのに
    大企業なら、本社、各拠点、海外拠点をつなぐネットワーク整備してるはず

    アクセスが必要な協力会社には、限定されたサーバのみににつながるVPNでつないでもらうようにすればいい

    ここに返信
    • by Anonymous Coward on 2021年01月08日 18時10分 (#3955442)

      君は大企業病の縦割りがわかってないようだね。

      ・イントラは、IT部門、つまり情シスのシマである。
      ・車載ソフトの開発は、開発部門がやっている。
      ・開発部門が情シスに、「イントラにgitサーバたてさせてくれ」と依頼する。
      ・めんどくさくてやりたくない情シスは、「運用はどうするんだ、セキュリティが云々」で煙に巻く。
      ・めんどくさくなった開発部門はインターネットにgitサーバ置いて使う。

      社内のネットワークセキュリティを厳しく取り締まった結果、社員はインターネットを使うようになり、情報セキュリティはユルユルになりましたというお話。

      • by Anonymous Coward

        なぜ開発部門は自分で立てずに情シスへ投げるんだろう?
        こういうのは最初に自分たちでテキトーなPCにLinuxでも入れて立てれば十分だ
        昔はそうやってたし、やる気のない情シスは気づきもしなかった

        • by Anonymous Coward

          元コメとは別ACです。

          なぜ情シスにサーバ立てるよう頼むのかって?
          サーバ立てるのが情シスの存在意義だからだよ。

          AWSにサーバ立ててイントラへルーティングするだけで、
          初期料金50万円、月額最低30万円を請求できるんです。

          仮に自分らで適当なPC使ってサーバ立てると、
          野良サーバ狩りで見つかって、始末書書かされます。

    • by Anonymous Coward

      歴史ある世界的大企業だからこそ、全グループ、全拠点をコントロールするのが難しいんだよボケ。

  • by Anonymous Coward on 2021年01月08日 15時58分 (#3955338)

    言いたかっただけ

    ここに返信
  • by Anonymous Coward on 2021年01月08日 20時24分 (#3955523)

    admin/123456
    にしなきゃ

    ここに返信
  • by Anonymous Coward on 2021年01月09日 15時00分 (#3955862)

    あっちの人のコードだけなんだろうか。
    日本の分も入ってるとすると、自分の書いたコードも入ってるかもなー。

    ここに返信
    • by Anonymous Coward

      知ってそうな人がいたのでここに。
      gitサーバーって何?

      giteaはデフォが違うと思うし、
      gitlabは今はroot。昔はadminだったっぽいけど。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...