パスワードを忘れた? アカウント作成
15293768 story
情報漏洩

メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 35

ストーリー by nagazou
流出 部門より
あるAnonymous Coward 曰く、

メルカリは、第三者から不正アクセスされ、GitHub上に保管されていた一部顧客情報やソースコードが流出したと発表。
不正アクセスの原因は、コードカバレッジ「Codecov」の脆弱性により第三者からBash Uploaderを不正に書き換えられ、
GitHubへのアクセス情報が漏洩、不正アクセスされ、情報が流出したとのこと。

情報元へのリンク

メルカリは21日、同社の利用するコードカバレッジツール「Codecov」が不正アクセスを受け、これにより顧客情報や加盟店情報など合計2万7889件が流出したと発表した。流出したのは、売上金の顧客口座への振込みに関連した情報17万85件(期間:2013年8月5日〜2014年1月20日)、カスタマーサービス対応に関連した情報217件(同2015年11月〜2018年1月)、メルカリ・メルペイの一部取引先等に関する情報7,966件、子会社を含む一部従業員に関する情報2615件となっている。流出した情報の悪用は確認されていないとしている(メルカリリリース)。

  • by Anonymous Coward on 2021年05月26日 7時10分 (#4038580)

    顧客情報がgithubに?

    ここに返信
    • ユニットテストとかのテストデータやテスト環境構築スクリプトに本番環境のデータの一部を使っちゃたとかのオチかも。
      実際に本番データで仕様漏れからのテスト失敗とか経験ある人も居るのでは?

      とはいえ、個人情報もそのままコピーして公開領域に置いちゃったのはミス以外の何物でもないですが。

      --
      私を信じないで、貴方を裏切ってしまうから。
      • 訂正
        公開領域→社外からアクセスが可能な領域

        とはいえ、外部ツールがウィルス感染して漏れるのと同様と考えると、置かれている領域が公開・非公開であるかはあまり重要ではないかも。

        ソースコードにアクセス可能な人が、個人情報が入った本番データに限定的にアクセス可能だったのが不味かった。
        テストデータ作成時に個人情報を潰す手間をケチった代償ですかね。
        潰す作業でテストデータの有効性が落ちるリスクとのトレードオフだったのかもしれませんが。

        --
        私を信じないで、貴方を裏切ってしまうから。
      • by Anonymous Coward

        そういうのって大手企業だと偏執的なまでに厳しくて、開発用マシンからは本番環境に全くアクセスできず、本番用マシンからはソースコードのチェックアウトとデプロイしかできないのが当たり前だと思ってたのですが・・・

        • 想像でしかありませんが、現実に障害が起きて、本番データでもテストしようという経緯があったのかもしれません。
          氏名やメールアドレス等、エンドユーザーからの入力に想定外があってシステムが壊れるというのはまま有ったりします。

          本当は、ちゃんと網羅度とかを確認したテストデータを作り、テストを行えば避けられるはずです。
          しかし、網羅したテストデータを作るのは結構大変なので適当に作ったテストデータだと、現実のデータの方が網羅度が高いという現象が起き得ます。
          それこそ、Mac環境のNFDやらIVSやら絵文字やら文字列って色々面倒を呼びますし。

          とはいえ、個人情報保護法が施行済みだったので、そのままコピペしちゃったのは悪手以外の何物でもないです。
          本番環境からコピれたのは、メルカリが立ち上がってまだまだ小さいころだったからなのでしょう。

          --
          私を信じないで、貴方を裏切ってしまうから。
        • by Anonymous Coward

          そこまで偏執的でなくても、オンプレに置くルールのおかげでGitHub Enterpriseを使っていたからとりあえずセーフって会社は多そう

      • by Anonymous Coward

        Gitリポジトリどうするんでしょうね。
        当然リポジトリから顧客情報削除しろって指示が走るでしょうが、masterの大昔の歴史の書き換えやんのかな。

        • by Anonymous Coward

          そりゃ当然やるでしょう
          それで支障が出るとも思えないですし

          • by Anonymous Coward

            まあ上司はそう言うだろうな。
            それが現実的かは履歴の状態に依るんだが、顧客情報混ぜるような作業者のリポジトリだからな。

    • by Anonymous Coward

      ソースコードの中にハードコードされてたのかな?
      と疑ったけど
      テスト用のデータをGitHubに入れてしまってたということなんだろうな

  • by Anonymous Coward on 2021年05月26日 7時24分 (#4038583)

    顧客情報が社外サービスに置かれていた時点で情報流出じゃないの?
    メルカリは馬鹿なの?

    ここに返信
    • by nim (10479) on 2021年05月26日 18時23分 (#4039084)

      > 顧客情報が社外サービスに置かれていた時点で情報流出じゃないの?

      オンプレと言いつつ、自社所有のデータセンタじゃないラック借・フロア借の
      会社は多いと思うんだけど、それも情報流出なの?

    • by Anonymous Coward

      一万円札を魚のオブジェとして売ろうだなんて客のいたところですよ。
      言葉の言い換えで言い逃れしようという姿勢は客層を反映してるわけです。

    • by Anonymous Coward

      githubは知らんけど、AWSに置くのは割と普通じゃないの?

    • by Anonymous Coward

      顧客情報を外部に委託して何かするなんて当たり前のように行われまくってますが。

      • by Anonymous Coward on 2021年05月26日 11時36分 (#4038741)

        そうですね。しっかりと委託契約や秘密保持契約を結んだうえでの委託は当たり前のように行われまくってますね。
        てことは、当然メルカリはgithubとちゃんと秘密保持契約も結んでるんですかね?
        秘密保持契約を結んでないところに、個人情報を渡したならばメルカリ側の問題で、
        秘密保持契約を結んでるのに、個人情報を漏洩させたらgithub側の問題ってことですよね。

        あと、個人情報って 本人の同意なく第三者へ開示・提供しない と言うのが一般的ですが、今回のケースでは本人の同意を取ってたんですかね?同意取ってないなら、第三者に開示した時点で漏洩だと思いますが、違いますかね?

        • by Anonymous Coward

          おっと年金機構の悪口はそこまでだ

        • by Anonymous Coward

          社外サービスにデータを置くのと開示するのって同じことなのかね
          まあ、サービス側が管理としてデータを覗き見ることはできるかもしれないけど

          いずれにせよ、誤ってか否かデータを置いたことと(いわばGithubへの情報流出だが不正アクセスによるものではない)、外部からの不正アクセスで情報が漏れたこと(それ以外の不特定多数のだれかに情報流出)を同一視するのは変だけどね

        • by Anonymous Coward

          > 同意取ってないなら、第三者に開示した時点で漏洩だと思いますが、違いますかね?

          個人データを取り扱うこととなっておらず、データの保管を目的としたサービスであるため
          安全管理措置を実施すればよく、同意を取る必要がないので(主に根拠が)違うと思います。
          https://www.ppc.go.jp/all_faq_index/faq1-q5-33/ [ppc.go.jp]

  • by Anonymous Coward on 2021年05月26日 7時26分 (#4038585)

    > 流出した情報の悪用は確認されていないとしている

    メルカリに出品されるのは悪用じゃないからな

    ここに返信
    • by Anonymous Coward

      よく、この文言が使われるけど、ダークウェブでの売買とか調査しているのだろうか。
      警察も他犯罪で使われた買取先の情報流出元まで調べるのだろうか

      • by Anonymous Coward

        「確認されていない」であって「調べた」とは言ってない。悪用された被害報告の有無だけだよ。

        • by Anonymous Coward

          確認できた人がいても放置しておけば被害はなかったことに出来る魔法。
          今まで同様の事件は色々あったけど、利用された被害が話題にならないのはそういうことか。

          • by Anonymous Coward

            何か言われても「アーアーキコエナイキコエナイ」と言い続ければ、企業の主観としては「悪用は(自分達には)確認されていない」だからね。

  • by Anonymous Coward on 2021年05月26日 9時43分 (#4038670)

    かなり基本的なポカだし、それは仕方なかったにせよ対応が悪い。

    # Codecov「が」不正アクセスというよりCodecov「で」不正アクセスでは?

    ここに返信
    • by Anonymous Coward

      この手のソフトウェアサプライチェーン攻撃、今回はSaaSサプライチェーン攻撃か、きついね。
      ユーザー企業側がきついのはもちろんだけど、利用企業が保守的になることで、スタートアップがきつくなる。
      スタートアップがいくら頑張っても、「便利そうだけど、セキュリティ的に実績無いね」で検討から外される。

      • by Anonymous Coward

        スタートアップがいくら頑張っても、「便利そうだけど、セキュリティ的に実績無いね」で検討から外される。

        逆に考えるんだ、老舗が事故った分野はスタートアップが過去無事故をウリに参入しやすいと!(そうか?)

      • by Anonymous Coward

        セキュリティ的に実績ってどう照明するんだろ。
        問題を起していない?
        それだと何もしたことない企業が実績があることになってしまうという矛盾。

  • by Anonymous Coward on 2021年05月26日 10時33分 (#4038705)

    数年立った情報をずっと保存する意味あるの?
    3年以降の問い合わせとか消すようにしないの?
    退会時のデータが残ってたらメルカリ最悪ですね

    ここに返信
    • by Anonymous Coward

      そういう話じゃないよ理解しろよ

    • by Anonymous Coward

      今回の話とは別ですが、『サービス期間中に入手した情報は未来永劫俺が自由に使える』契約って、結構ありますよ

      • by Anonymous Coward

        とはいえ契約より法律が優先されますからね

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...