LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 84
ストーリー by nagazou
なぜアップしたのかは不明 部門より
なぜアップしたのかは不明 部門より
LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコード等)となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている(LINE Payのプレスリリース)。
馬鹿を止める機能が欠如したgithub (スコア:0)
業務では絶対に使用させるべきではない。
Re:馬鹿を止める機能が欠如したgithub (スコア:3, おもしろおかしい)
業務では絶対に使用させるべきではない。
“「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」”
Re: (スコア:0)
githubの使用は100%安全とか以前に危険が目に見えてるし、前例にも事欠かない。
Re: (スコア:0)
エラい人が言いそうね。
Re: (スコア:0)
金輪際、Githubは使わない!
Re: (スコア:0)
実際のとこ、言っちゃったエラい人って実在するんだろうか。
以前からtwitter上では「弊社はgithub禁止になりますた」みたいな事言ってる人いるけど
その人の会社とか分からんし、ちょっと検証は難しい。
でも想像を絶するへんな会社ってのは確かに存在するし
この類の事件を理由にgithub禁止にしちゃった会社も、どこかに実在はするんだろうかね。
Re: (スコア:0)
Githubへのアップロード機能があるせいで、SourceTreeのソフトウェア利用申請を蹴られたことならある。
Re: (スコア:0)
そうだそうだ、電子メールとかファクシミリ、郵送なんて誤りを止める機能がないのだから使用させてはいけない!
Re:馬鹿を止める機能が欠如したgithub (スコア:2)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
相互認証が完了しないと本題は漏洩しない電話最強だな。
Re:馬鹿を止める機能が欠如したgithub (スコア:1)
ヒント:大きな声
Re:馬鹿を止める機能が欠如したgithub (スコア:1)
相互確認が不完全でも本題の連絡が成り立つから、オレオレ詐欺が成立するんでしょ?
Re: (スコア:0)
クラウドを使うなら避けられないこと。文句があるならオンプレでやってろ。
Re: (スコア:0)
実際、業務のソースコード管理はオンプレでやるのが最適だろ。
外部から使いたければVPNで繋げばいいだけだし、githubを使う必然性がどこにも存在しない。
Re: (スコア:0)
普通はオンプレ版GitHub Enterpriseでは?
Re:馬鹿を止める機能が欠如したgithub (スコア:1)
GHE(GitHub Enterprise)は、単なる git リポジトリじゃなく、
いろいろな便利機能がついてるから、そのためにお金を出して買うのはありだと思います。
Re: (スコア:0)
業務では絶対に使用させるべきではない。
↑こういう馬鹿でもWebに書き込み可能な端末を使ってます、今すぐ取り上げろ!
Re: (スコア:0)
では何なら良いと思ってますかね?
Re: (スコア:0)
普通にgit使えば良くね?
あえてgithub使う意味なんてないよね。
危険な設計図共有サイト (スコア:0)
このような事故の原因になる、危険な「プログラムの設計図を共有するサイト」はブロックしなくては!
ってなるんですかね?
Re:危険な設計図共有サイト (スコア:1)
特定サイトをブロックするなんて難しいことを偉い人が理解できるわけないだろ
GitHubは使用禁止と「通達」し、どうしても必要な場合は稟議書を作成、係長、課長が確認の上、部長が決裁すること
これが正しい日本企業の対応だ
なお、忠実に対応した者は劇的に生産性が下がり、馬鹿は不正に仕事を持ち帰った挙げ句に自宅からアップロードして事故る模様
Re: (スコア:0)
声明出してたコンピュータソフトウェア協会 [security.srad.jp]の会員一覧にLINEの名前は無かった。
ttps://www.saj.or.jp/memberlist/category.html?s=i&i=%u30E9
#URLにユニコード使ってるのが気になる
Re: (スコア:0)
githubへのアップロード禁止で生産性が下がる人なんているの?
Re:危険な設計図共有サイト (スコア:1)
GitHubが使えないこと自体じゃなくて、GitHubを使っていないことを確認するために紙のチェックリストにハンコ押して提出みたいな、
効果はないが手間だけかかる「対策」を用意するのが得意なんだよ老害管理職は
Re: (スコア:0)
実際のところ、全公開の設定が可能なアップローダーは社内からはブロックすべきだよね。
Re: (スコア:0)
なんで容易に想像できるリスクがあるのに使うんだろうね。
1開発者の操作ミスで簡単に世界中に情報流出できるヤバさ。
Re: (スコア:0)
そりゃ世界中に公開したいからでしょう
SDKとか公開してるようですし運用の問題でしかない
Re: (スコア:0)
うーん、頭悪い。
わざわざ地雷源でスキップしなくてもいいのに。
Re: (スコア:0)
まぁ、日本の大企業(ITベンチャー除く)はSSL盗聴機能付きのプロキシ入れてブロックしてるわけですが。
SNSも有名処を除いて接続すらさせない。
# 調べものしたら検索上位に出てくるYah○○知恵○れとかも接続禁止なので結構邪魔。
そういえば (スコア:0)
初代GitHub流出ニキはどうしてるんだろう...
Re:そういえば (スコア:3, 興味深い)
SMBC証券の業務コードなどがGitHubに公開された事件、賠償金700万円で決着した模様 | スラド Submission [srad.jp]
なおストーリーには採用されなかった模様
Re: (スコア:0)
SMBC証券の業務コードなどがGitHubに公開された事件、賠償金700万円で決着した模様 | スラド Submission [srad.jp]
業務関連で個人賠償ってはて?
と思ったら
業務情報窃盗としての示談金って話なのね
Re: (スコア:0)
えぇぇ、アカウント閉じてなかったどころか顛末まで報告してたとは...
めっちゃ天然さを感じる。
# 700万払えるんだ...
Re: (スコア:0)
# 700万払えるんだ...
賠償金の金額で合意したって意味じゃない?
一括で支払うとは限らないし。
Re:そういえば (スコア:1)
ゴーンさんは無実です><!
ちゃんと.gitignore使えよ (スコア:0)
↓↓↓を書いとけば安全だって知らない奴がGitHubを使うからいけない。
絶対に流出してはいけない情報_rev2_最新版\ (3)_修正済.txt
Re: (スコア:0)
漏洩して困る情報には
「これは○○株式会社の機密情報です。権限を与えられていない場合は直ちに削除してください。不正利用すると刑事罰に問われます」
って署名入れておけばいいんだよ。
# マジでそういう署名入れてくる取引先があるのでびびった。
委託業者にデータ残ったまま (スコア:0)
> 当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。
> その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロード
付与漏れ調査を行ったのが1月と4月。で、その情報が9月にミスで流出。
普通は、調査終わったらそのデータは削除するものじゃないのかな。
調査後にデータ削除が行われていれば流出することもなかった。ということで今回は二つの過ちを起こしたことが原因。
こういう開発だとありがちだけど、本物のデータを渡されてそれで開発することになる。
そして開発が終わったあともソースコード一式は渡された本番データとセットで保存する(データがないとプログラムが動くかどうかも確認難しいしから必ずデータもセット)。
> 3. 経緯と対応(日本時間)
> 2021年11月24日18時27分 社内のモニタリング業務を通じて、「GitHub」上の当該情報を検知
> 2021年11月24日18時37分 「GitHub」上の当該情報を確認
> 2021年11月24日18時45分 「GitHub」上の当該情報の削除を完了
> 2021年11月30日13時05分 「GitHub」上の当該情報に対するアクセス状況および二次拡散状況の調査を完了
> 2021年12月 6日16時00分頃 該当ユーザーへの通知を実施
ここで対応を見てみると、対応はGitHub上だけで、委託業者での削除処理はなされていない。
つまりはソースコードとセットで未だにその本物データを委託業者がもったままになっている可能性が高い。おそらくプライベート設定のGitHubにはいまだに流出したらダメな情報が残っているんだろうね。
開発やソースの管理は架空のテストデータとセットで行いなよ。
委託業者での情報保存期間を管理していないのは大きな問題だし、それが過ちだと気づいていないように見える。
#世間は厳しくなってきたけど、管理がずさんなところはとことんずさん。表にでなければおkの精神がまかり通ってる
Re: (スコア:0)
> 当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。
> その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロード
たぶん業界的には全く違うと思いますが。
個人情報を含んだ機密情報を委託先等の社外サーバーに出す事は禁じられていないのですね。
今の仕事先で委託が機密情報取り扱う作業をするときはアカウント出してもらって社内サーバーの中で仕事してました。
他のサーバーや可搬メディアへのデータ転送は契約で禁止されてた。
>#世間は厳しくなってきたけど、管理がずさんなところはとことんずさん。表にでなければおkの精神がまかり通ってる
今どきはそんなもんでしょうね
Re: (スコア:0)
https://www.itmedia.co.jp/business/articles/2112/07/news105.html [itmedia.co.jp]
> 情報漏えいは、LINE Payの子会社で、同社の受託開発などを手掛ける、韓国LINE biz Plusで発生。
> 今回の漏えいに関しては「社員の個人アカウントに情報をアップロードしていた」と説明する。
記事でも言及されているが決済情報が海外に出てしまってるのも良くないし、個人アカウントってのも論外だね。
故意にやったのかミスなのかは知らないが、情報管理がなってない。
私用PCで業務を行ったり、業務用PCで私用の開発をやってたりしそう。
Re:委託業者にデータ残ったまま (スコア:1)
代替いくらでもある。 (スコア:0)
toxプロトコルやMATRIXプロトコルなどを使った、分散、オープンソース、エンドツーエンド暗号化のソフトある。
LINEみたいな閉じたプラットフォームは完全な時代遅れやん。閉じたプラットフォームの利便性はメール以下。
Re: (スコア:0)
よしわかった。その優れた代替品に今すぐLINEユーザを全員乗り換えさせてくれ。
ネットワーク外部性って言葉知ってるかな?
使い方が間違ってるのでは (スコア:0)
便利だけど危険も考えて利用しないとねぇ
(*´ω`*)
問題ない (スコア:0)
個人情報流出とか気にする奴はLINEなんて使わんから
Re: (スコア:0)
つまり、カモリストなんですよ。
Re: (スコア:0)
うむ、何度目だ?
(*´ω`*)
さぁ、+メッセージの出番だ! (スコア:0)
・ユーザー登録不要!
・業界標準RCSに準拠したガラパゴスサービス!
・国内携帯キャリアが提供するから安心! (楽天? とかいうところは、入れてもらえないのか、RCSを採用しているスーパーコミュニケーションアプリ「Rakuten Link」があるから加わる気がないのか、使えない)
・MVNOでも使用可能! (LINEを抱えているソフトバンクは、MVNO対応を来春以降まで全力で引き延ばし中!!)
ダミーデータで済ますことは出来ないの? (スコア:0)
なんでホンモノのデータを渡してしまうのかが分からない。
公開設定のGitHubにデータ入れちゃう委託先もバカだけど、本物のデータ渡して委託したLINEの方がバカなのでは?
個人アカウントに誤って公開とあるが (スコア:0)
他の記事だと
韓国人の個人アカウントに誤って公開とあったけど
誤ったのは公開のこと?
それとも個人情報を含む機密情報に関連企業の社員がアクセス出来たこの?
それともその社員がGitHubの個人アカウントを持っていて、社内で得た情報をそのアカウントに上げたこと?
結果的に公開されてバレたけど
これバレなかったらもっと酷い問題になってないの?
他の個人情報も抜かれてた可能性はないのかな?
なんか疑問ばかりでよくわからん