UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2211/10/news186.html
2022年11月10日 20時30分 公開 [ITmedia]
有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
https://image.itmedia.co.jp/news/articles/2211/10/l_mt1626333_IOJUYVHCGFX.jpg
UUUMのWebサイト
6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。
(略)
※省略していますので全文はソース元を参照して下さい。
【IT】UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
2022/11/10(木) 22:09:31.70ID:kJBH98iG
2022/11/10(木) 22:10:27.51ID:CqINCo/7
ギフハフこえー
3名刺は切らしておりまして
2022/11/10(木) 22:12:37.84ID:2Tm4N8ga 個人だとたまにあるな。
しかし、ソース管理は社内pcか社内サーバでやった方が間違いが無いんじゃないか?
しかし、ソース管理は社内pcか社内サーバでやった方が間違いが無いんじゃないか?
2022/11/10(木) 22:13:30.84ID:6w0mGlsb
初心者か
2022/11/10(木) 22:16:44.79ID:WZtvzNNs
終わったな
6名刺は切らしておりまして
2022/11/10(木) 22:16:50.33ID:uMv67+jF キーのファイルは.gitignoreファイルに書くんやで
小学生でもわかること
小学生でもわかること
2022/11/10(木) 22:18:24.23ID:NI06v725
うーむ
8名刺は切らしておりまして
2022/11/10(木) 22:23:38.79ID:o0NFn9Zz この際OSSにすればいい
世の中のためになるかならないかはクオリティ次第
別にGitHubで隠そうとするのがそもそも悪い
世の中のためになるかならないかはクオリティ次第
別にGitHubで隠そうとするのがそもそも悪い
2022/11/10(木) 22:30:10.78ID:J4aQuiJZ
絶対に放置されないようにします。
10死神娘
2022/11/10(木) 22:32:00.13ID:+cHDu/7e 青木歌音のコメントが聞きたいな
11名刺は切らしておりまして
2022/11/10(木) 22:38:35.94ID:gGZui4eN youtuber国際問題
12名刺は切らしておりまして
2022/11/10(木) 22:57:55.29ID:GI0RLJIW GitHubをpublicにしてたって事
yotuberの人が管理してるの?
yotuberの人が管理してるの?
13名刺は切らしておりまして
2022/11/10(木) 23:00:34.80ID:GI0RLJIW 管理能力ないなら大人しくgitlabでネットワークから隔離しとけばいいのに
2022/11/10(木) 23:04:42.08ID:YLmcXVf3
本の一ヶ月前にも類似の事故があったよな
「T-Connect」のユーザーサイトのソースコード(コンピューターの処理を記述したテキスト文)の一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認いたしました。
https://global.toyota/jp/newsroom/corporate/38095972.html
「T-Connect」のユーザーサイトのソースコード(コンピューターの処理を記述したテキスト文)の一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認いたしました。
https://global.toyota/jp/newsroom/corporate/38095972.html
15名刺は切らしておりまして
2022/11/10(木) 23:09:54.81ID:/afJZSgU16名刺は切らしておりまして
2022/11/10(木) 23:13:04.47ID:/afJZSgU GitHubは世界公開するのが大前提の仕組みだ
んで世界の誰からもチェックされてよければ使われてさらにこれがあるともっといいよとか追加してもらえてそれで世界のソフトウェアができてる
チェーンされず改良されないものはバグだらけ
今はなくとも世の中環境が変わると変えないことがバグ持ちになる
日本のコロナアプリがそれ
んで世界の誰からもチェックされてよければ使われてさらにこれがあるともっといいよとか追加してもらえてそれで世界のソフトウェアができてる
チェーンされず改良されないものはバグだらけ
今はなくとも世の中環境が変わると変えないことがバグ持ちになる
日本のコロナアプリがそれ
17名刺は切らしておりまして
2022/11/10(木) 23:13:40.98ID:/afJZSgU 隠しておこうなんて発想が優位な日本が世界最低になる理由の一つ
18名刺は切らしておりまして
2022/11/10(木) 23:14:43.17ID:/afJZSgU >>13
最初から公開すればいちばん
最初から公開すればいちばん
19名刺は切らしておりまして
2022/11/10(木) 23:15:45.21ID:/afJZSgU 公開しちゃいけない>>6は当たり前だけどね
20名刺は切らしておりまして
2022/11/10(木) 23:21:25.50ID:INV0vjim gitlabつかえよドケチが
2022/11/10(木) 23:30:26.95ID:5XpaWxEl
呪文ばっかりでなんの話か
さっぱりわからない(*´;ェ;`*)
さっぱりわからない(*´;ェ;`*)
2022/11/10(木) 23:36:41.60ID:lsrmrLkf
低レベルやねぇ
2022/11/10(木) 23:46:44.23ID:PpN8SdLb
youtuberなんて顔出しで身元もバレてるようなもんだけど
大手Vtuberの個人情報が全部流れたら大事だなw
大手Vtuberの個人情報が全部流れたら大事だなw
2022/11/11(金) 01:04:32.78ID:ONmQYzrR
だから完全ローカルのGit鯖立てろと
2022/11/11(金) 03:02:43.04ID:xU9Up0gV
>>22
そんなハードウェア寄りの話ではない
そんなハードウェア寄りの話ではない
2022/11/11(金) 04:37:10.23ID:3bvRAfHo
これGitHubを公開してたんじゃなくてGitHubはプライベートにしていたけど認証キーが流出した(可能性がある)話じゃないの?
2022/11/11(金) 06:23:00.41ID:NfL1XvwG
2022/11/11(金) 06:29:27.49ID:jQ2s+46k
ガラの悪いグリコのおっさん二人がトップページなのか
29名刺は切らしておりまして
2022/11/11(金) 06:50:39.18ID:egtJcWlR 正直大した問題じゃなくね
UUUMだからってこと?
githubのキーが公開されていたって
ツリーを改変されたのか?
UUUMだからってこと?
githubのキーが公開されていたって
ツリーを改変されたのか?
2022/11/11(金) 07:36:15.66ID:V6PihOUX
個人情報を置いてたのが問題
31名刺は切らしておりまして
2022/11/11(金) 07:39:09.86ID:1rsIzCC8 >>16
ふむ。その仕組みに公開してはいけないものを保存するのがおかしい。という話では?
ふむ。その仕組みに公開してはいけないものを保存するのがおかしい。という話では?
2022/11/11(金) 07:54:12.92ID:aCx0y7O7
>>8
まずはお前のIMEIを公開してみようか
まずはお前のIMEIを公開してみようか
33名刺は切らしておりまして
2022/11/11(金) 07:57:26.87ID:qEgVmQlS >>25
評価する
評価する
2022/11/11(金) 07:57:31.85ID:aCx0y7O7
Gitがローカルでサーバすら不要で使えることすら知らんやつ大杉
口先だけだもんなお前ら
口先だけだもんなお前ら
2022/11/11(金) 08:11:17.73ID:5tnDDqho
>>34
GitHubの認証キーが漏れたって話なのになにトンチンカンなこと言ってるんだよw
GitHubの認証キーが漏れたって話なのになにトンチンカンなこと言ってるんだよw
36名刺は切らしておりまして
2022/11/11(金) 08:21:57.01ID:5IRr7tmK37名刺は切らしておりまして
2022/11/11(金) 08:50:26.29ID:28lYZocR38名刺は切らしておりまして
2022/11/11(金) 08:53:27.94ID:28lYZocR ああ、でも、個人情報が漏洩しているのか。
39名刺は切らしておりまして
2022/11/11(金) 08:55:49.90ID:28lYZocR パスワードとかをリポジトリに加えていたっぽいけど、そうでなくても、CIとか回していたら、やりたい放題だろうからなあ。
40名刺は切らしておりまして
2022/11/11(金) 08:58:03.30ID:5IRr7tmK なるほどね
どっかの脆弱サーバが丸見えで、そこにGitHubのid、 passが置いてあった
それで、GitHubログインしたら、アホみたいに秘密情報をリボジリトリあげててワロタwww
となったと言うことね
要するに全部ダメダメだっと言うことか
どっかの脆弱サーバが丸見えで、そこにGitHubのid、 passが置いてあった
それで、GitHubログインしたら、アホみたいに秘密情報をリボジリトリあげててワロタwww
となったと言うことね
要するに全部ダメダメだっと言うことか
2022/11/11(金) 09:09:44.44ID:R5us6Vno
ヒカキンのとこだっけ?
2022/11/11(金) 10:14:25.90ID:2WxjpAMy
GitHubは文系のゴミ箱ではありません。
非技術的な連中はデータをアップしないでください。
非技術的な連中はデータをアップしないでください。
2022/11/11(金) 11:09:04.64ID:BeG0cYRA
DBのアクセスキーが漏洩するだけで誰でも外部からDBに接続できる状態になってんの?
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね?
俺なら怖くてできないな、それ
AWSのアクセスキーとかじゃなくてデータベースのアクセスキーだよね?
俺なら怖くてできないな、それ
44名刺は切らしておりまして
2022/11/11(金) 11:20:18.62ID:UZhIkw2q そもそもなんでパブリック使ってるんだよ
45名刺は切らしておりまして
2022/11/11(金) 11:25:57.37ID:hbA8jey4 ssh-keygen
2022/11/11(金) 11:32:19.36ID:eJY51ZTL
ヒカキンからサングラス取り上げたらどうなるんだろうか
47名刺は切らしておりまして
2022/11/11(金) 11:46:16.92ID:p1e+XRBL >>2
さすがに2で来たかw
さすがに2で来たかw
48名刺は切らしておりまして
2022/11/11(金) 11:46:59.54ID:p1e+XRBL >>46
見たことないのか?
見たことないのか?
2022/11/11(金) 11:51:17.98ID:5tnDDqho
2022/11/11(金) 13:58:48.35ID:xU9Up0gV
>>46
普段からサングラスしてないだろ
普段からサングラスしてないだろ
51名刺は切らしておりまして(埼玉県)
2022/11/11(金) 14:55:10.24ID:JrhBVcaF dbアクセスキーをソース直書きって初心者やん
52名刺は切らしておりまして
2022/11/11(金) 15:46:39.95ID:TCvcoAPl53名刺は切らしておりまして
2022/11/11(金) 18:58:02.45ID:FJK/O/Yw 飛鳥『だから気をつけろと言ったろ?』
54名刺は切らしておりまして
2022/11/11(金) 19:49:39.05ID:U2yY7uAL 舐めるな!
ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ!
ちゃんと環境変数にして外だししたファイルにidとパスワードを平文で直書きしたわ!
2022/11/11(金) 19:56:19.55ID:5tnDDqho
>>51-52
どうすれば正解なの?
どうすれば正解なの?
56名刺は切らしておりまして
2022/11/11(金) 21:29:10.52ID:khS6Hftt 流石はソニー
2022/11/11(金) 22:59:48.99ID:HLep7rOi
唸らざるを得ない
58名刺は切らしておりまして
2022/11/12(土) 02:56:08.41ID:v6tziOPr こういうミスは実際なかなか防げないよね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね
人のミスなんて
GitHub Enterprise使えよと思うけど、この規模の会社だと厳しいだろうね
59名刺は切らしておりまして
2022/11/12(土) 04:15:56.45ID:OmPVDigm >>55
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。
各クラウドやCIサービスにそういった秘匿情報を扱う機能があって、それを使う。
後は最小限の権限を与えたサービス用のアカウントだけがアクセスできるようにして開発者のアカウントからは直接アクセスできないようにするとか。
60名刺は切らしておりまして
2022/11/12(土) 04:19:43.05ID:OmPVDigm ただ、いずれにしても、GitHubの権限(どのくらい厳密に絞り込んでいたかだけど、推して知るべしだよね)を取得されていたら、フロントエンドを含めやりたい放題なので、漏洩以降のデータはデータベースに繋がずとも取得し放題にはなるのかなと。
この間のショーケースの事例みたいに。
この間のショーケースの事例みたいに。
61名刺は切らしておりまして
2022/11/12(土) 04:23:07.88ID:OmPVDigm >>59までやらない場合は設定ファイルを別に保存して、.gitignoreにそのファイル名を書き込んでリポジトリには含まれないようにするとか。
62名刺は切らしておりまして
2022/11/12(土) 07:53:51.85ID:LfJEKpQj GitHubの認証キーをどうやってweb公開しちゃったのかを検証報告書に書いてもらいたいな
置き場所間違えたのか、外部サービス連携用だったのかとか
置き場所間違えたのか、外部サービス連携用だったのかとか
2022/11/12(土) 11:29:58.28ID:bLrux9ux
2022/11/12(土) 12:22:27.57ID:tGILf6fh
>>62
放置とか書いてるぐらいだから間違って置いたかテスト用に置いたやつの消し忘れとかじゃね?
放置とか書いてるぐらいだから間違って置いたかテスト用に置いたやつの消し忘れとかじゃね?
65名刺は切らしておりまして
2022/11/12(土) 12:46:32.99ID:gnZTlC4Q ウチはテストでも直書きなんてしたら怒られるわ
2022/11/12(土) 14:06:50.25ID:xY2x8/4N
ルイはスプライブなのになんで登山してるんだ?
2022/11/13(日) 01:24:16.12ID:1Gjugy7B
>>35
仕事で使ったことがないやつなんだよ、許してやってくれ
仕事で使ったことがないやつなんだよ、許してやってくれ
2022/11/13(日) 01:27:41.70ID:1Gjugy7B
個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールなどに注意するよう呼び掛けている。
つまりDBには顧客情報があったと
つまりDBには顧客情報があったと
2022/11/13(日) 01:33:04.66ID:1Gjugy7B
これ
ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
とあって
ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
ってなってるけど、DB自体どこからでもアクセスできたってこと?それはさすがにやばくね?
ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。
とあって
ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。
ってなってるけど、DB自体どこからでもアクセスできたってこと?それはさすがにやばくね?
2022/11/13(日) 16:19:02.88ID:uP2hoccw
2022/11/13(日) 21:19:03.78ID:bo8PxTtq
アクセスログはちゃんと取っていたのかな?
2022/11/13(日) 23:26:07.63ID:GPhIk6TF
>>70
フィルターしてなかったからアクセスできる状態にあったのでは?漏洩の有無とアクセス制限の有無は別だと思うよ
フィルターしてなかったからアクセスできる状態にあったのでは?漏洩の有無とアクセス制限の有無は別だと思うよ
2022/11/14(月) 08:21:47.67ID:P6Lo/5oB
どこから閲覧できるか明記されてないしな
74新規スレ立て人募集 社説+の募集スレまで
2023/01/08(日) 19:59:22.10ID:q8ec4BfA ソニーといえばおもらし
2023/01/11(水) 15:24:11.20ID:Use6ZbUY
開発メンバーはそのファイルが証明書や鍵かどうかなんて認識すらせず
あるもの全部PUSHしてじまう。 毎度そう。そんで流出する。
どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。
.gitignore強制とかできんのかな。
あるもの全部PUSHしてじまう。 毎度そう。そんで流出する。
どんだけくちすっぱくクレデンシャルはリポジトリに置くな、といっても、
自分の検証環境まるごと指定してブランチにするから同じことがおきる。
間抜けしかいない。
.gitignore強制とかできんのかな。
2023/02/04(土) 12:19:15.00ID:KZ2ehWPy
>>75
勝手に拡張子変えるやつもいるしな
勝手に拡張子変えるやつもいるしな
77名刺は切らしておりまして
2023/02/08(水) 11:51:39.79ID:lDg56jvi
78名刺は切らしておりまして
2023/02/08(水) 11:52:18.61ID:lDg56jvi
2023/02/08(水) 13:52:50.99ID:mrJgubR/
個人情報を売り渡した後で流出しましたと言い訳すれば、お詫びは一人当たり500円以下で済む
80名刺は切らしておりまして
2023/02/08(水) 14:36:44.12ID:jwrHIW3B 早晩消えてなくなるような水商売上場。
問題になりそう。
問題になりそう。
81名刺は切らしておりまして
2023/02/08(水) 17:29:12.08ID:RYRQkbVP ごめん今更なんだけどGITHUBってなに?3行で教えて
82名刺は切らしておりまして
2023/02/11(土) 13:20:29.50ID:GjcnmWiP83名刺は切らしておりまして
2023/03/01(水) 23:37:51.75ID:2Eve7wh6 マジかよ夕闇に誘いし漆黒の天使達最低だな
2023/03/02(木) 00:05:13.13ID:74pxUWuV
プライベートリポジトリでも漏れるもんなの?
85名刺は切らしておりまして
2023/04/17(月) 13:06:31.22ID:6yyleg3p 社内でもhttpsじゃねーと
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。
chromeブラウザがうるさいので
仕方なくlets encryptとか使ってるけど
原本みたいなファイルは置いちゃいけないのかい。
暗号化って、手間かかって
なんだか面倒くさすぎる。
86名刺は切らしておりまして
2023/04/17(月) 14:30:07.24ID:nKiv65m+ ビジネスニュースが自然と集まってくるスレ。
ここを見ておけば!経済情報はバッチリ!
◆スレ立て依頼スレ@ビジネスnews+[2/15-] [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1676457026/
ここを見ておけば!経済情報はバッチリ!
◆スレ立て依頼スレ@ビジネスnews+[2/15-] [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1676457026/
2023/04/17(月) 15:07:11.24ID:B4C6CdoC
公開しないコードなのになんでGitHub使うんだ?
88名刺は切らしておりまして
2023/04/17(月) 15:46:06.67ID:UB1xTMMh >>80
UUUM、今期最終を一転87%減益に下方修正
UUUM <3990> [東証G] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6%減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6%下方修正し、一転して86.6%減益見通しとなった。
会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。
直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2%→-0.3%に大幅悪化した。
ちなみに株価も過去最安値
昨日今日で20%近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ
UUUM、今期最終を一転87%減益に下方修正
UUUM <3990> [東証G] が4月14日大引け後(15:00)に決算を発表。23年5月期第3四半期累計(22年6月-23年2月)の連結最終利益は前年同期比72.6%減の1億円に大きく落ち込んだ。
併せて、通期の同利益を従来予想の7億1500万円→6000万円(前期は4億4800万円)に91.6%下方修正し、一転して86.6%減益見通しとなった。
会社側が発表した下方修正後の通期計画に基づいて、当社が試算した12-5月期(下期)の連結最終損益も従来予想の4億7700万円の黒字→1億7800万円の赤字(前年同期は2億5900万円の黒字)に減額し、一転して赤字計算になる。
直近3ヵ月の実績である12-2月期(3Q)の連結最終損益は1億3800万円の赤字(前年同期は1億7600万円の黒字)に転落し、売上営業損益率は前年同期の4.2%→-0.3%に大幅悪化した。
ちなみに株価も過去最安値
昨日今日で20%近くも落ちてる
Googleは本国で独占禁止法で訴えられてるし
Youtube自体が斜陽産業だからまじでUUUM潰れる可能性あるよ
89名刺は切らしておりまして
2023/04/29(土) 00:53:28.03ID:ghNMBnsH >>1
これ何がヤバいの?
これ何がヤバいの?
2023/04/30(日) 10:45:47.38ID:pvhYKrGA
大多数の一般の人には影響の無い話だから問題ないだろ。
2023/05/06(土) 22:51:35.16ID:F8+H/Lj+
株価えらいことになってんな
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- W杯韓国、超崖っぷち“8番手”転落の可能性…27日はどうなる? 実は決勝T決定のパターンも ★3 [尺アジ★]
- 【サッカー】森保監督、続投へ 三笘ら主力を欠く中、2大会連続の決勝T進出… 将来は海外挑戦視野も3大会連続12年の長期政権へ★2 [冬月記者★]
- 【サッカーW杯】ベルギーが5発快勝でGS突破! トロサール2発&デ・ブライネやルカクもゴール…NZは敗退 [鉄チーズ烏★]
- 【サッカーW杯】混戦G組はエジプトが耐えて2位通過!イランは“歓喜のAT逆転弾”が無情オフサイド [鉄チーズ烏★]
- 『DOWNTOWN+』好調で松本人志の地上波復帰が先延ばしへ 出演したい芸人たちが行列 松本「死ぬほど金はある」 [ネギうどん★]
- 「とんかつ」値上げ [バイト歴50年★]
- 【地上波/DAZNほか】 FIFAワールドカップ2026 総合スレ★216【メキシコ/カナダ/アメリカ】
- 【3位通過争い専用】 FIFAワールドカップ2026 GL3位通過争い実況スレ★2
- 【地上波/DAZNほか】 FIFAワールドカップ2026 総合スレ★218修正【メキシコ/カナダ/アメリカ】
- 【MLB】パドレス vs ドジャース ★3
- こいせん1 全レス転載禁止
- 福島競馬 2回1日目
- 【悲報】サッカー韓国代表、W杯の敗退がほぼ確定するwwwwwwwwwwwwwwwwww [253992206]
- 韓国さん、グループ3位内順位レース現在8位
- 【実況】博衣こよりのえちえちファイアーエムブレム風花雪月🧪 Part4
- 映画通「吹き替えは絶対ダメ。字幕で見るのが映画」 [638887543]
- 高市総理、メイド・ベビーシッターの普及に税制支援 [237216734]
- キオクシア、従業員のボーナス+10万円 [237216734]