メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 36
ストーリー by nagazou
流出 部門より
流出 部門より
あるAnonymous Coward 曰く、
メルカリは、第三者から不正アクセスされ、GitHub上に保管されていた一部顧客情報やソースコードが流出したと発表。
不正アクセスの原因は、コードカバレッジ「Codecov」の脆弱性により第三者からBash Uploaderを不正に書き換えられ、
GitHubへのアクセス情報が漏洩、不正アクセスされ、情報が流出したとのこと。
情報元へのリンク
メルカリは21日、同社の利用するコードカバレッジツール「Codecov」が不正アクセスを受け、これにより顧客情報や加盟店情報など合計2万7889件が流出したと発表した。流出したのは、売上金の顧客口座への振込みに関連した情報17万85件(期間:2013年8月5日〜2014年1月20日)、カスタマーサービス対応に関連した情報217件(同2015年11月〜2018年1月)、メルカリ・メルペイの一部取引先等に関する情報7,966件、子会社を含む一部従業員に関する情報2615件となっている。流出した情報の悪用は確認されていないとしている(メルカリリリース)。
ソースコードはともかく (スコア:1)
顧客情報がgithubに?
Re:ソースコードはともかく (スコア:2)
ユニットテストとかのテストデータやテスト環境構築スクリプトに本番環境のデータの一部を使っちゃたとかのオチかも。
実際に本番データで仕様漏れからのテスト失敗とか経験ある人も居るのでは?
とはいえ、個人情報もそのままコピーして公開領域に置いちゃったのはミス以外の何物でもないですが。
Re:ソースコードはともかく (スコア:1)
訂正
公開領域→社外からアクセスが可能な領域
とはいえ、外部ツールがウィルス感染して漏れるのと同様と考えると、置かれている領域が公開・非公開であるかはあまり重要ではないかも。
ソースコードにアクセス可能な人が、個人情報が入った本番データに限定的にアクセス可能だったのが不味かった。
テストデータ作成時に個人情報を潰す手間をケチった代償ですかね。
潰す作業でテストデータの有効性が落ちるリスクとのトレードオフだったのかもしれませんが。
Re: (スコア:0)
そういうのって大手企業だと偏執的なまでに厳しくて、開発用マシンからは本番環境に全くアクセスできず、本番用マシンからはソースコードのチェックアウトとデプロイしかできないのが当たり前だと思ってたのですが・・・
Re:ソースコードはともかく (スコア:1)
想像でしかありませんが、現実に障害が起きて、本番データでもテストしようという経緯があったのかもしれません。
氏名やメールアドレス等、エンドユーザーからの入力に想定外があってシステムが壊れるというのはまま有ったりします。
本当は、ちゃんと網羅度とかを確認したテストデータを作り、テストを行えば避けられるはずです。
しかし、網羅したテストデータを作るのは結構大変なので適当に作ったテストデータだと、現実のデータの方が網羅度が高いという現象が起き得ます。
それこそ、Mac環境のNFDやらIVSやら絵文字やら文字列って色々面倒を呼びますし。
とはいえ、個人情報保護法が施行済みだったので、そのままコピペしちゃったのは悪手以外の何物でもないです。
本番環境からコピれたのは、メルカリが立ち上がってまだまだ小さいころだったからなのでしょう。
Re: (スコア:0)
そこまで偏執的でなくても、オンプレに置くルールのおかげでGitHub Enterpriseを使っていたからとりあえずセーフって会社は多そう
Re: (スコア:0)
Gitリポジトリどうするんでしょうね。
当然リポジトリから顧客情報削除しろって指示が走るでしょうが、masterの大昔の歴史の書き換えやんのかな。
Re: (スコア:0)
そりゃ当然やるでしょう
それで支障が出るとも思えないですし
Re: (スコア:0)
まあ上司はそう言うだろうな。
それが現実的かは履歴の状態に依るんだが、顧客情報混ぜるような作業者のリポジトリだからな。
Re: (スコア:0)
>実際に本番データで仕様漏れからのテスト失敗とか経験ある人も居るのでは?
怪しいお米セシウムさんかあ、懐かしいなあ。
Re: (スコア:0)
ソースコードの中にハードコードされてたのかな?
と疑ったけど
テスト用のデータをGitHubに入れてしまってたということなんだろうな
Re:ソースコードはともかく (スコア:1)
不正アクセス? (スコア:1)
顧客情報が社外サービスに置かれていた時点で情報流出じゃないの?
メルカリは馬鹿なの?
Re:不正アクセス? (スコア:2)
> 顧客情報が社外サービスに置かれていた時点で情報流出じゃないの?
オンプレと言いつつ、自社所有のデータセンタじゃないラック借・フロア借の
会社は多いと思うんだけど、それも情報流出なの?
Re: (スコア:0)
賃貸物件の社屋にあるオンプレは自社って言うでしょ
マネージドサービスはアウトかな
Re:不正アクセス? (スコア:1)
そしたらアット東京のコロケーションは社外で
持ちビルに置いたAmazon Outposts は自社とかいうおかしなことにならん?
Re: (スコア:0)
一万円札を魚のオブジェとして売ろうだなんて客のいたところですよ。
言葉の言い換えで言い逃れしようという姿勢は客層を反映してるわけです。
Re: (スコア:0)
githubは知らんけど、AWSに置くのは割と普通じゃないの?
Re: (スコア:0)
顧客情報を外部に委託して何かするなんて当たり前のように行われまくってますが。
Re:不正アクセス? (スコア:2, 興味深い)
そうですね。しっかりと委託契約や秘密保持契約を結んだうえでの委託は当たり前のように行われまくってますね。
てことは、当然メルカリはgithubとちゃんと秘密保持契約も結んでるんですかね?
秘密保持契約を結んでないところに、個人情報を渡したならばメルカリ側の問題で、
秘密保持契約を結んでるのに、個人情報を漏洩させたらgithub側の問題ってことですよね。
あと、個人情報って 本人の同意なく第三者へ開示・提供しない と言うのが一般的ですが、今回のケースでは本人の同意を取ってたんですかね?同意取ってないなら、第三者に開示した時点で漏洩だと思いますが、違いますかね?
Re: (スコア:0)
おっと年金機構の悪口はそこまでだ
Re: (スコア:0)
社外サービスにデータを置くのと開示するのって同じことなのかね
まあ、サービス側が管理としてデータを覗き見ることはできるかもしれないけど
いずれにせよ、誤ってか否かデータを置いたことと(いわばGithubへの情報流出だが不正アクセスによるものではない)、外部からの不正アクセスで情報が漏れたこと(それ以外の不特定多数のだれかに情報流出)を同一視するのは変だけどね
Re: (スコア:0)
> 同意取ってないなら、第三者に開示した時点で漏洩だと思いますが、違いますかね?
個人データを取り扱うこととなっておらず、データの保管を目的としたサービスであるため
安全管理措置を実施すればよく、同意を取る必要がないので(主に根拠が)違うと思います。
https://www.ppc.go.jp/all_faq_index/faq1-q5-33/ [ppc.go.jp]
悪用 (スコア:0)
> 流出した情報の悪用は確認されていないとしている
メルカリに出品されるのは悪用じゃないからな
Re: (スコア:0)
よく、この文言が使われるけど、ダークウェブでの売買とか調査しているのだろうか。
警察も他犯罪で使われた買取先の情報流出元まで調べるのだろうか
Re: (スコア:0)
「確認されていない」であって「調べた」とは言ってない。悪用された被害報告の有無だけだよ。
Re: (スコア:0)
確認できた人がいても放置しておけば被害はなかったことに出来る魔法。
今まで同様の事件は色々あったけど、利用された被害が話題にならないのはそういうことか。
Re: (スコア:0)
何か言われても「アーアーキコエナイキコエナイ」と言い続ければ、企業の主観としては「悪用は(自分達には)確認されていない」だからね。
Codecovが悪い (スコア:0)
かなり基本的なポカだし、それは仕方なかったにせよ対応が悪い。
# Codecov「が」不正アクセスというよりCodecov「で」不正アクセスでは?
Re: (スコア:0)
この手のソフトウェアサプライチェーン攻撃、今回はSaaSサプライチェーン攻撃か、きついね。
ユーザー企業側がきついのはもちろんだけど、利用企業が保守的になることで、スタートアップがきつくなる。
スタートアップがいくら頑張っても、「便利そうだけど、セキュリティ的に実績無いね」で検討から外される。
Re: (スコア:0)
スタートアップがいくら頑張っても、「便利そうだけど、セキュリティ的に実績無いね」で検討から外される。
逆に考えるんだ、老舗が事故った分野はスタートアップが過去無事故をウリに参入しやすいと!(そうか?)
Re: (スコア:0)
セキュリティ的に実績ってどう照明するんだろ。
問題を起していない?
それだと何もしたことない企業が実績があることになってしまうという矛盾。
毎回思うのですが (スコア:0)
数年立った情報をずっと保存する意味あるの?
3年以降の問い合わせとか消すようにしないの?
退会時のデータが残ってたらメルカリ最悪ですね
Re: (スコア:0)
そういう話じゃないよ理解しろよ
Re: (スコア:0)
今回の話とは別ですが、『サービス期間中に入手した情報は未来永劫俺が自由に使える』契約って、結構ありますよ
Re: (スコア:0)
とはいえ契約より法律が優先されますからね