年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 248
あちゃー 部門より
近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている(Togetter、経緯のまとめっぽいツイート)。
発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。
アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。
日経クロステックによれば、この件を受けて三井住友銀行(SMBC)は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様(日経クロステック、ITmedia)。
テレワークによる一次流出ではない様子 (スコア:5, 興味深い)
当該コードは数年前、古いものでは十数年前に当該者が開発現場から持ち出したものであり
一次的には昨年から一気に普及したテレワークに起因する流出ではないようです。
とばっちりでリモートワーク終了という話も? (スコア:5, 興味深い)
この件の影響とは断言できないけど、SIer勤めらしいよんてんごP [twitter.com]という方がこんな話も。南無。
Re:とばっちりでリモートワーク終了という話も? (スコア:1)
基本的にテレワークとは関係ない話なんだけど、マスコミ含めて混同させるんだろうなぁ(ため息
Re: (スコア:0)
現場にいれば流出が防げるってのもよく分かりませんが…リモートだと悪いことしやすいってなら環境構築がそもそも間違ってる。
Re: (スコア:0)
ローカルにソースが抜ける状況がダメですよね。そこの穴を塞がずにリモートのせいにするのは意味が解らない。
Re: (スコア:0)
そういう会社はまさか個人PCでテレワークさせてるんじゃ……
Re: (スコア:0)
テレワークってシンクラかVDIでやるもんじゃないの?
Re:とばっちりでリモートワーク終了という話も? (スコア:1)
Re:とばっちりでリモートワーク終了という話も? (スコア:1)
会社でリモートワーク用ノートPCを購入、社員に持ち帰らせてVPN+VDIで接続でしょ。
私の知る会社は大体そう。
Re: (スコア:0)
突貫工事のBYODを解消してない会社は多そう
なぜにアカウント連携? (スコア:3, 興味深い)
Findy 試してみるかとおもって行ってみたら、GitHub のアカウント要求されるのな。
なぜにアカウント連携?プライベートリポジトリの情報引っこ抜きたいの?
それとも何かリポジトリ改変しちゃうの?
「GitHubでアカウントを作成すると、公開リポジトリの情報からスキル解析を行います。
プライベートリポジトリの取得、解析は一切行いませんのでご安心ください。」
とか書いてあるけど、そんなの信用できるの?
公開リポジトリの情報を使うだけならアカウント連携する必要ないじゃん?
削除済みツイートによると (スコア:2, 興味深い)
Findyの偏差値評価用に手持ちコードをGitHubにアップしたみたいですな。
笑えないところはそのFindyにSMBCベンチャーキャピタルが出資してるところ。
Re: (スコア:0)
で、Findyのコードもこの人が作って漏れていたら面白い。
単純に、契約違反じゃないのか (スコア:2)
> 全く問題を理解していない感じ
プログラマーを 20 年もやっててこれじゃ、年収が低くても仕方がない。
20 年なら、一人前になっていてもよさそうなものだ。
踊る阿呆に見る阿呆 (スコア:1)
上げちゃう奴も上げちゃう奴だが、
見つけても、そっと本人にだけ伝えればいいものを、晒すアホ
Re:踊る阿呆に見る阿呆 (スコア:1)
×そっと本人にだけ伝えればいいものを
○そっと勤め先に伝える
◎そっとクライアントに伝える
本人に伝えたって有耶無耶の無かったことになったりして、改善もされず再発したりと碌なことにならない
伝えるなら問題を解決できる部署なりに報告するのが正しいやり方
今回も本人に(公だけど)伝えたけど対応がアレだし、自浄できそうもない人に伝えても意味ない
というか周りの人のこと考えたら通報一択かと
年収300万円で買える人材の資質 (スコア:1, 参考になる)
結果的に証明されてしまったわけだが、こんな金額でまともな技術者が来るわけがないって再認識した方がいい。
あと、多重請け使ってる企業はリスク管理のやり直しが必要。
全ての契約に「再委託禁止」と入れなければ、こんな馬の骨が紛れ込んでても分からんだろう。
つーか契約書でどんなに取り繕っても本質的に違法派遣なので商流全体コンプライアンス欠如しすぎ。
常駐型請負、それもSESなんて適正に運用しようがない。
boolean の代わりに string で「○」「×」入れるなど評価できないほど酷いコード (スコア:1)
この人がアップしたコードを見たところ、どうしようもないほどの糞コードだった。
これあげて年収評価してもらうとか何を考えているんだろう。
https://pbs.twimg.com/media/Es3-1IsVEAA7Fpz?format=png&name=small [twimg.com]
https://pbs.twimg.com/media/Es3-1IsVEAA7Fpz?format=png&name=small [twimg.com]
boolean にすべき変数を string にして "○" とか "×" を入れてる。
断指有無が crossFinger とか英語も滅茶苦茶。
1行で書けば良いコメントを何故か3行にしているし無駄な2行空け多数。
これ1行いくらでコード書いてるから無駄に長くして水増ししているのかな。
こんなコードを書く「プロプログラマー」がこの世に存在するとは信じられない。
年収0、不採用が妥当。
もっと賢い年収判定が必要だな (スコア:0)
情報漏洩させるエンジニアの価値を低く判定できるようにならないとな
そもそもコードで年収というのが意味不明だが
しかもGitにアップさせるなんて漏洩ホイホイなのでは
Re:もっと賢い年収判定が必要だな (スコア:1)
git と GitHub(を含めたレポジトリホスティングサービス) を混同して表現するのはやめてくれ
それを続けていると git どころか svn も cvs も使えない
「コピーしてファイルネームを替えてバージョン管理」という太古の闇に戻されかねないぞ
Re:もっと賢い年収判定が必要だな (スコア:1)
Re: (スコア:0)
ぶ、VSS
Re:もっと賢い年収判定が必要だな (スコア:1)
ま、hg ……
Re: (スコア:0)
「いや、ギットを社内で立てられる無料版があるんです。その代わり機能は少ないですが、
社内サーバーが落ちても手元で作業して、後で社内サーバーで共有できます」とか地道に説明するしか…
Re: (スコア:0)
それは可哀想に。
その点うちの会社はプロジェクトを入れたディレクトリ名でバージョン管理してるから無問題(マテ
Re: (スコア:0)
そもそも業務外でプロ並みのコードを書いてる人向けのサービスなんだよ
業務でしかプログラミングしない程度の人は対象外
Re: (スコア:0)
転職サービスのスキル偏差値化システムで、業務でしかプログラミングしない人を対象外とは意味不明
Re: (スコア:0)
あんたは対象外ってことだ
Re: (スコア:0)
あれは「そこそこ以上の期間・回数活動をしてる最低限の継続性があり、かつ頭悪い査定方法でも受け入れる社畜精神がある」ことを確認するためのシステムだから。
ある意味、今回やらかしたような奴がターゲットユーザーではあるかも。
Re: (スコア:0)
ヤバゲなコードを含んでたら賠償費用のマイナス査定を吐くんですね
ちょっと言動が… (スコア:0)
「すごく反響があるけど面白いのかなぁ? 明日営業にでも聞いてみますわ」的な事を言ってたり
甘く見ているとか遵法意識が低いと言うより何が何だか訳が分かっていないという感覚を覚えた
スラドにも時々見受けられるちょっと何かが限界の方なのでは?
Re: (スコア:0)
まさにコンプライアンス教育の敗北
Re: (スコア:0)
フリーランスでVBA書いてる奴が「EXCELファイル開くのに制限つけるのはマクロでやればいい、IDとパスワードはCSVに平文保存すればEXCELファイルが盗まれてもセキュリティは保てる」みたいな話してるのを、つい数日前に見たからなあ。
まあなんだ、リテラシーって下を見たらキリがないよね、教育よりは淘汰で維持しないと限界あるんじゃ?と思う。
Re: (スコア:0)
この人がそうだったのかは知らんけど、多重請けなんてコンプライアンス教育とかをはしょるからできるんだろ。
当然の帰結だと思われ。
Re: (スコア:0)
この件でgithub禁止だとかリモート禁止だとかいう会社があるらしいじゃないですか。そんなのが指揮系統にいる会社があるし、そんな会社にしがみついてる奴もいる。
これらも何がなんだか訳が分かってない奴らですよ。知識や行動がアマチュアレベルでも生きていける業界なんだからこういうのが発生してもおかしくない。
Re: (スコア:0)
逆にこの件を受けて「給料の安い人間はリスク」と突然昇給を発表した社もあるとかw
そんだけピンキリってことだろうけど、ギフハブ・リモートは禁止だー! と脊髄反射するのと
炎上の渦中で「また俺なんかやっちゃいましたかね?」って平然としてるのとどっちがヤバいかは…
Re: (スコア:0)
でも給料上げたら非常識な人が突然常識人になるわけでもないしなぁ
給料高くても常識のある人にメンバーを入れ替えるってのならわからんでもないが
Re:ちょっと言動が… (スコア:2)
隗より始めよって故事もありましそれほどおかしなことじゃないでしょう。
Re: (スコア:0)
まぁでも社内環境からGitHubにアップロードできるなら、それは漏洩の抜け道だから封鎖するしかないんじゃない?
顧客から対策しろって言われたら、シス管レベルではプロキシで遮断するくらいしか思いつかん。今回やらかした奴のアホな言動っぷりを見ると教育じゃどうにもならなそうだし。
気の利いたシス管なら参照のみできるように遮断ルールを設定するかもしれんが、その対策で顧客が納得するかはなんとも。
ソースコード持ち帰り自体はよくある (スコア:1)
> この時点で社内から盗み出してるじゃん、手段はUSBメモリか何かは知らんけど
まあそうなんだけど、自分が書いたソースコードを後で再利用するために持ち出すのは、割とよくある事だと思われるからなぁ。
それ自体はまあコッソリやる分にはあまり責められない。
単品だと動かないからプロジェクト全部とか、先輩のソースを参考にするために持って帰っちゃうとかも別にまあある。
会社側だって、杜撰な現場では辞めた人に「あのソース持ってたりする?消しちゃったんだけど!」とか問い合わせることあったりするし(酷
…とはいえ、あくまでコッソリであって、もし漏洩したらヤバいことはみんな分かってるから、バレないようにやるのが普通なわけで。
それをコピーライト表記もそのままにGitHubのpublicリポジトリに上げちゃうとか、さすがにこれは酷いと言わざるを得ない。
# 自分も昔の仕事のソースを自宅に持ってるのでAC
Re:ソースコード持ち帰り自体はよくある (スコア:1)
普通じゃねぇよ。
立派に犯罪だっての。
ばれなきゃいいんですよって、もろ犯罪者のセリフじゃねぇか。
Re:ちょっと言動が… (スコア:1)
GitHubは参照のみ可でアップロード不可ってのが現実的な落としどころじゃね?
Re:ちょっと言動が… (スコア:1)
なんだったかのSNSに対してログインページだけ遮断するようなルールにしてたのを見たことがある
ログインしないと書き込めないので頭いいなと思った
なんだアイドルオタなのか? (スコア:0)
https://github.com/YukiLeafX/SMBC/blob/main/Veiw.java [github.com]
行:1241
// list = new ArrayList();
// list.add("SKE48");
// list.add("AKB48");
// list.add("HKT48");
Re: (スコア:0)
Re:なんだアイドルオタなのか? (スコア:1)
このレベルのコードを見せて、転職に有利になると考えたんだろうか?
査定結果 (スコア:0)
ちゃんと年俸0円(初年度のみ賠償金でマイナス)みたいな結果が出たのかな。
ときに (スコア:0)
Cのhello, worldプログラムをインプットすると、査定どれくらいって出るものか。
Re:賠償責任 (スコア:1)
ここまでズレまくった珍反論をするヤツが理解できるよう説明するのは骨が折れそうだ。
Re:MicrosoftはGitHubを手放してはどうか (スコア:1)
思いっきりクローズになる未来しか無いな→アップル買収