パスワードを忘れた? アカウント作成
15507092 story
情報漏洩

LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 84

ストーリー by nagazou
なぜアップしたのかは不明 部門より
LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコード等)となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている(LINE Payのプレスリリース)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年12月07日 16時18分 (#4165454)

    業務では絶対に使用させるべきではない。

    • by Anonymous Coward on 2021年12月07日 16時48分 (#4165477)

      業務では絶対に使用させるべきではない。

      “「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」”

      親コメント
      • by Anonymous Coward

        githubの使用は100%安全とか以前に危険が目に見えてるし、前例にも事欠かない。

    • by Anonymous Coward

      エラい人が言いそうね。

      • by Anonymous Coward

        金輪際、Githubは使わない!

      • by Anonymous Coward

        実際のとこ、言っちゃったエラい人って実在するんだろうか。
        以前からtwitter上では「弊社はgithub禁止になりますた」みたいな事言ってる人いるけど
        その人の会社とか分からんし、ちょっと検証は難しい。

        でも想像を絶するへんな会社ってのは確かに存在するし
        この類の事件を理由にgithub禁止にしちゃった会社も、どこかに実在はするんだろうかね。

        • by Anonymous Coward

          Githubへのアップロード機能があるせいで、SourceTreeのソフトウェア利用申請を蹴られたことならある。

    • by Anonymous Coward

      そうだそうだ、電子メールとかファクシミリ、郵送なんて誤りを止める機能がないのだから使用させてはいけない!

    • by Anonymous Coward

      クラウドを使うなら避けられないこと。文句があるならオンプレでやってろ。

      • by Anonymous Coward

        実際、業務のソースコード管理はオンプレでやるのが最適だろ。
        外部から使いたければVPNで繋げばいいだけだし、githubを使う必然性がどこにも存在しない。

    • by Anonymous Coward

      業務では絶対に使用させるべきではない。

      ↑こういう馬鹿でもWebに書き込み可能な端末を使ってます、今すぐ取り上げろ!

    • by Anonymous Coward

      では何なら良いと思ってますかね?

      • by Anonymous Coward

        普通にgit使えば良くね?
        あえてgithub使う意味なんてないよね。

  • by Anonymous Coward on 2021年12月07日 16時18分 (#4165455)

    このような事故の原因になる、危険な「プログラムの設計図を共有するサイト」はブロックしなくては!

    ってなるんですかね?

    • 特定サイトをブロックするなんて難しいことを偉い人が理解できるわけないだろ

      GitHubは使用禁止と「通達」し、どうしても必要な場合は稟議書を作成、係長、課長が確認の上、部長が決裁すること

      これが正しい日本企業の対応だ

      なお、忠実に対応した者は劇的に生産性が下がり、馬鹿は不正に仕事を持ち帰った挙げ句に自宅からアップロードして事故る模様

      親コメント
    • by Anonymous Coward

      実際のところ、全公開の設定が可能なアップローダーは社内からはブロックすべきだよね。

      • by Anonymous Coward

        なんで容易に想像できるリスクがあるのに使うんだろうね。
        1開発者の操作ミスで簡単に世界中に情報流出できるヤバさ。

        • by Anonymous Coward

          そりゃ世界中に公開したいからでしょう
          SDKとか公開してるようですし運用の問題でしかない

          • by Anonymous Coward

            うーん、頭悪い。
            わざわざ地雷源でスキップしなくてもいいのに。

      • by Anonymous Coward

        まぁ、日本の大企業(ITベンチャー除く)はSSL盗聴機能付きのプロキシ入れてブロックしてるわけですが。
        SNSも有名処を除いて接続すらさせない。
        # 調べものしたら検索上位に出てくるYah○○知恵○れとかも接続禁止なので結構邪魔。

  • by Anonymous Coward on 2021年12月07日 16時20分 (#4165458)

    初代GitHub流出ニキはどうしてるんだろう...

  • by Anonymous Coward on 2021年12月07日 16時49分 (#4165479)

    ↓↓↓を書いとけば安全だって知らない奴がGitHubを使うからいけない。

    絶対に流出してはいけない情報_rev2_最新版\ (3)_修正済.txt

    • by Anonymous Coward

      漏洩して困る情報には
      「これは○○株式会社の機密情報です。権限を与えられていない場合は直ちに削除してください。不正利用すると刑事罰に問われます」
      って署名入れておけばいいんだよ。

      # マジでそういう署名入れてくる取引先があるのでびびった。

  • by Anonymous Coward on 2021年12月07日 16時54分 (#4165484)

    > 当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。
    > その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロード

    付与漏れ調査を行ったのが1月と4月。で、その情報が9月にミスで流出。
    普通は、調査終わったらそのデータは削除するものじゃないのかな。
    調査後にデータ削除が行われていれば流出することもなかった。ということで今回は二つの過ちを起こしたことが原因。

    こういう開発だとありがちだけど、本物のデータを渡されてそれで開発することになる。
    そして開発が終わったあともソースコード一式は渡された本番データとセットで保存する(データがないとプログラムが動くかどうかも確認難しいしから必ずデータもセット)。

    > 3. 経緯と対応(日本時間)
    > 2021年11月24日18時27分 社内のモニタリング業務を通じて、「GitHub」上の当該情報を検知
    > 2021年11月24日18時37分 「GitHub」上の当該情報を確認
    > 2021年11月24日18時45分 「GitHub」上の当該情報の削除を完了
    > 2021年11月30日13時05分 「GitHub」上の当該情報に対するアクセス状況および二次拡散状況の調査を完了
    > 2021年12月 6日16時00分頃 該当ユーザーへの通知を実施

    ここで対応を見てみると、対応はGitHub上だけで、委託業者での削除処理はなされていない。
    つまりはソースコードとセットで未だにその本物データを委託業者がもったままになっている可能性が高い。おそらくプライベート設定のGitHubにはいまだに流出したらダメな情報が残っているんだろうね。

    開発やソースの管理は架空のテストデータとセットで行いなよ。
    委託業者での情報保存期間を管理していないのは大きな問題だし、それが過ちだと気づいていないように見える。

    #世間は厳しくなってきたけど、管理がずさんなところはとことんずさん。表にでなければおkの精神がまかり通ってる

    • by Anonymous Coward

      > 当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。
      > その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロード

      たぶん業界的には全く違うと思いますが。
      個人情報を含んだ機密情報を委託先等の社外サーバーに出す事は禁じられていないのですね。

      今の仕事先で委託が機密情報取り扱う作業をするときはアカウント出してもらって社内サーバーの中で仕事してました。
      他のサーバーや可搬メディアへのデータ転送は契約で禁止されてた。

      >#世間は厳しくなってきたけど、管理がずさんなところはとことんずさん。表にでなければおkの精神がまかり通ってる

      今どきはそんなもんでしょうね

    • by Anonymous Coward

      https://www.itmedia.co.jp/business/articles/2112/07/news105.html [itmedia.co.jp]
      > 情報漏えいは、LINE Payの子会社で、同社の受託開発などを手掛ける、韓国LINE biz Plusで発生。
      > 今回の漏えいに関しては「社員の個人アカウントに情報をアップロードしていた」と説明する。

      記事でも言及されているが決済情報が海外に出てしまってるのも良くないし、個人アカウントってのも論外だね。
      故意にやったのかミスなのかは知らないが、情報管理がなってない。
      私用PCで業務を行ったり、業務用PCで私用の開発をやってたりしそう。

  • by Anonymous Coward on 2021年12月07日 17時12分 (#4165495)

    toxプロトコルやMATRIXプロトコルなどを使った、分散、オープンソース、エンドツーエンド暗号化のソフトある。

    LINEみたいな閉じたプラットフォームは完全な時代遅れやん。閉じたプラットフォームの利便性はメール以下。

    • by Anonymous Coward

      よしわかった。その優れた代替品に今すぐLINEユーザを全員乗り換えさせてくれ。
      ネットワーク外部性って言葉知ってるかな?

  • by Anonymous Coward on 2021年12月07日 18時52分 (#4165556)

    便利だけど危険も考えて利用しないとねぇ

    (*´ω`*)

  • by Anonymous Coward on 2021年12月07日 19時12分 (#4165571)

    個人情報流出とか気にする奴はLINEなんて使わんから

    • by Anonymous Coward

      つまり、カモリストなんですよ。

    • by Anonymous Coward

      うむ、何度目だ?

      (*´ω`*)

  • by Anonymous Coward on 2021年12月07日 22時18分 (#4165675)

    ・ユーザー登録不要!
    ・業界標準RCSに準拠したガラパゴスサービス!
    ・国内携帯キャリアが提供するから安心! (楽天? とかいうところは、入れてもらえないのか、RCSを採用しているスーパーコミュニケーションアプリ「Rakuten Link」があるから加わる気がないのか、使えない)
    ・MVNOでも使用可能! (LINEを抱えているソフトバンクは、MVNO対応を来春以降まで全力で引き延ばし中!!)

  • by Anonymous Coward on 2021年12月07日 22時35分 (#4165683)

    なんでホンモノのデータを渡してしまうのかが分からない。

    公開設定のGitHubにデータ入れちゃう委託先もバカだけど、本物のデータ渡して委託したLINEの方がバカなのでは?

  • by Anonymous Coward on 2021年12月07日 22時51分 (#4165689)

    他の記事だと
    韓国人の個人アカウントに誤って公開とあったけど
    誤ったのは公開のこと?
    それとも個人情報を含む機密情報に関連企業の社員がアクセス出来たこの?
    それともその社員がGitHubの個人アカウントを持っていて、社内で得た情報をそのアカウントに上げたこと?
    結果的に公開されてバレたけど
    これバレなかったらもっと酷い問題になってないの?
    他の個人情報も抜かれてた可能性はないのかな?
    なんか疑問ばかりでよくわからん

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...