日産の社内ツールやソースコードがサーバーの設定ミスで流出 36
ストーリー by nagazou
やらかし 部門より
やらかし 部門より
日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様(ZDNet、GIGAZINE)。
この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。
- Nissan NA Mobile apps(日産NAモバイルアプリ)
- some parts of the Nissan ASIST diagnostics tool(日産アシスト診断ツールの一部)
- the Dealer Business Systems / Dealer Portal(ディーラービジネスシステム・ディーラーポータル)
- Nissan internal core mobile library(日産の内部コアモバイルライブラリ)
- Nissan/Infiniti NCAR/ICAR services(日産インフィニティのNCAR/ICARサービス)
- client acquisition and retention tools(顧客獲得と保持のためのツール)
- sale / market research tools + data(営業とマーケティング調査のツールとデータ)
- various marketing tools(さまざまなマーケティングツール)
- the vehicle logistics portal(車両ロジスティクスポータル)
- vehicle connected services / Nissan connect things(自動車の接続サービス関連)
- and various other backends and internal tools(その他のバックエンドと内部ツール)
チェック担当みたいなのいなかったのん? (スコア:0)
日産でもこういう時のチェック体制無いんだろうか。
技術情報が命の会社なんだから、作業者とは別に、監督者かチェック部門みたいなのがパスワードの状況含めてセキュリティーチェックとかしてるもんだと。
Re:チェック担当みたいなのいなかったのん? (スコア:1)
金の流れもまともにチェックできないのに?
Re: (スコア:0)
チェックしているけれど、異議を申し立てる人はみなCEOの手で左遷された。
会社資産を守るのが取締役の仕事だが、そのCEOは親会社のトップも兼任しているので。。
Re: (スコア:0)
CEOのやることを覆すのが不可能ならゴーンはどうやって失脚したの?
Re: (スコア:0)
Re:チェック担当みたいなのいなかったのん? (スコア:2)
お前だったのか。
Re: (スコア:0)
Gがリストラしたんじゃね+お前だったのか。
→G、お前だったのか。
→ごん、お前だったのか。
Re:チェック担当みたいなのいなかったのん? (スコア:2)
ゴーン、お前だったのか。
Re: (スコア:0)
さすがに幼稚過ぎて、イキったアホな社員が勝手にサーバ立ててやったことのように思えてしまうが詳細がわからん。
Re: (スコア:0)
JAPよ、これぞアメリカンビジネススピード。
Re: (スコア:0)
ソフトに関してはデンソーとかボッシュとかコンチネンタルに丸投げなんでは?
Re: (スコア:0)
Re: (スコア:0)
名前から想像される機能からするとディーラーを含めた販売部門が使う物っぽいので、内製でおかしくないかと
いっそのことフルオープンにして (スコア:0)
オープンソースとして開発するのも手なんじゃないかと。。。
#管理もできない体たらくに脆弱性がないはずが無い
Re: (スコア:0)
車屋のソフトウェアてば外の人が見たらウンザリするようなクソの塊、非効率逐次コードの織物でオープンとか恥ずかしくて不可能なんじゃね?
流出物見たわけじゃ無いけどさ
Re: (スコア:0)
Re: (スコア:0)
クソはクソでもバグの少ないクソですよね。
Re: (スコア:0)
車屋のソフトウェアが非効率逐次コードの織物なら
IT屋がソフトウェア書いたらasync/awaitのチェーンで統計的に高効率なコードになるんだろうか
それはそれで乗りたくねえ
Re: (スコア:0)
よくわからないのだけども、
逐次処理と並列化可能な処理が効率化に寄与し、
そして、効率的か否かと車の安全性に
何の関連性があるのでしょうか?、
# 安全性のためなら、計算機を多数乗せるのは
# 並列化ではなく多重化が目的じゃないの?
Re: (スコア:0)
ソースもいいけど、秘密鍵ほしいです
Re: (スコア:0)
需要の無いものはオープンにしても手が入ることはないな。
オープンソースで生きてるのなんてごく一部だし。
使う人が不満があったときに自分で直すという場面も
この手のだとほとんど無いだろうし。
Re:いっそのことフルにして (スコア:0)
内部向けのツールとかオープンソースにする意味ってあるの?
この手のサーバーは (スコア:0)
ローカルIPのサーバーにしてVPNでしか繋がらないようにすれば良いんじゃね?
って思うんだけど、違うのかねぇ。
Re: (スコア:0)
そのVPNがadmin/adminでつながってたかもしれないだけの話では?
Re: (スコア:0)
まあそういうミスもありがちですね。
あとはローカルからしかアクセスできないようにしたつもりとか。
設定ミス? (スコア:0)
admin/admin のまま運用してたんだから確信犯じゃないの?
他の社内システムもadmin/adminで入れそう
Re: (スコア:0)
admin/admin のまま運用してたんだから確信犯じゃないの?
他の社内システムもadmin/adminで入れそう
任命設定のミスですのであっていますね
# 権限と責任がセットでない組織にありがち
そもそもなんでインターネット上に置くんだ? (スコア:0)
イントラネット上に置いとけば、情報流出リスクを大きく下げられるのに
大企業なら、本社、各拠点、海外拠点をつなぐネットワーク整備してるはず
アクセスが必要な協力会社には、限定されたサーバのみににつながるVPNでつないでもらうようにすればいい
Re:そもそもなんでインターネット上に置くんだ? (スコア:1)
君は大企業病の縦割りがわかってないようだね。
・イントラは、IT部門、つまり情シスのシマである。
・車載ソフトの開発は、開発部門がやっている。
・開発部門が情シスに、「イントラにgitサーバたてさせてくれ」と依頼する。
・めんどくさくてやりたくない情シスは、「運用はどうするんだ、セキュリティが云々」で煙に巻く。
・めんどくさくなった開発部門はインターネットにgitサーバ置いて使う。
社内のネットワークセキュリティを厳しく取り締まった結果、社員はインターネットを使うようになり、情報セキュリティはユルユルになりましたというお話。
Re: (スコア:0)
なぜ開発部門は自分で立てずに情シスへ投げるんだろう?
こういうのは最初に自分たちでテキトーなPCにLinuxでも入れて立てれば十分だ
昔はそうやってたし、やる気のない情シスは気づきもしなかった
Re: (スコア:0)
元コメとは別ACです。
なぜ情シスにサーバ立てるよう頼むのかって?
サーバ立てるのが情シスの存在意義だからだよ。
AWSにサーバ立ててイントラへルーティングするだけで、
初期料金50万円、月額最低30万円を請求できるんです。
仮に自分らで適当なPC使ってサーバ立てると、
野良サーバ狩りで見つかって、始末書書かされます。
Re: (スコア:0)
歴史ある世界的大企業だからこそ、全グループ、全拠点をコントロールするのが難しいんだよボケ。
やっちゃったぜ NISSAN (スコア:0)
言いたかっただけ
だめじゃないか (スコア:0)
admin/123456
にしなきゃ
んー (スコア:0)
あっちの人のコードだけなんだろうか。
日本の分も入ってるとすると、自分の書いたコードも入ってるかもなー。
Re: (スコア:0)
知ってそうな人がいたのでここに。
gitサーバーって何?
giteaはデフォが違うと思うし、
gitlabは今はroot。昔はadminだったっぽいけど。