gmailをgmaiと誤入力して新入生135人の個人情報が流出。京都市立芸術大 58
ぐまい 部門より
アナウンス:スラドとOSDNは受け入れ先を募集中です。
4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ(ITmedia、Twitterのまとめ)。
「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで(デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる)、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。
採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。
楽天グループが日米政府の監視対象となったそうだ。理由としては安全保障の観点から。同グループは3月に中国のIT大手テンセントから出資をされている点。楽天は株式の3.65%にあたる650億円余りの出資をテンセントから受けている(共同通信、NHK)。
報道によれば、日米の顧客情報がテンセントを通じて漏れることを警戒しての措置であるという。日本政府が外国為替法に基づいて楽天から定期的に聞き取りし、安全保障の観点から問題がないか調査するとしている。外国為替法では、国の安全保障に重要な企業が株式の1%以上を取得する場合、事前に政府の届け出が必要となるという。なお、今回の投資に関しては事前の届け出はなかったとしている。
バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。
JPCERTによると
CVE-2021-3511:第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512:第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716:第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。
基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。
JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー