これか……
GitHubの総点検をしろとか、なぜこんなの使うんだとか…… パトラッシュ疲れたよ

Githubの監視をしていないのか

ひどい
幸い、私のトヨエースはT-Connect対応してませんわ

クレデンシャルをハードコードって普通レビューでひっかかると思うんだけど、どんな開発体制だったのかしら…あとコードのGitHubでの公開ルールとか

これはちゃんとプロパーを育てないから委託先で普通のミスをされちゃったって事かな。

下請管理で強いトヨタでも、ソフトウェアだと管理しきれない。大変。
やるなって書いててもやっちゃうのが人間だけど、労働災害が起こらないと察知出来ないって事なんだろうね。

ソースコードの不適切な取り扱いもあるが、本質は鍵管理の問題ではなかろうか？？

ディスクユニオンの名前、住所、メアド、電話番号70万件漏洩からすれば可愛い話だ。

ソースコードにはデータサーバーへのアクセスキーが含まれ………強すぎるわ。

こういうのを見るとデータマネジメントの重要性が認識できますね。

うーん。

トヨタ車だし T-Connect 使ってる。それにしても5年間誰も言わなかったことがすごい。

迫力がある

タイトルだけだとミスリードするけど
ソースコードが公開されていたことが重要ではなく(問題ではあるけど)、DBのアクセスキーが公開されていたことが致命的

開発を委託する際は、CloudGuard Spectral を使用してほしい！

5年間も情報漏洩放置してたのにどうやって気付いたんだろ…

5年間も気付かないということがあるんですね

あーあ...

なぬ！

➡️5年間放置する。
➡️個人情報保護は？
➡️コンプライアンスは？
➡️下請の業者任せ？

ソースコードが公開されていたのが問題というより、DBサーバーへの接続情報が公開されていたのが問題じゃないの？

なるほど、だから迷惑メール多いんだな

ソースの一部が見えたからといってメアドか漏洩するの意味不明やな。

この件のお話でした！

トヨタのメアド漏えいの件、こっちのほうが詳しいな。やらかした業者に問題あるのは当然として、ソースをGitに上げて5年放置。だけどソースリポジトリのクロールで見つけられなかったって言ってる？それもどうなのかねえ

やばそう

気になる今日のニュース

はま寿司データ、カッパ社内で共有 パスワードを聞き出し、メールで営業秘密を送信

これ…😫
ウチのメアドも含まれているのかな😱💦

『

T-CONNECTの委託先かぁ…まぁ、T-CONNECT、へなちょこだからなぁ。

社員以外に本番データ参照させるのは完全にアウト。渡す方も受け取る方も問題。

委託先、、T-connect、、なんとなくあそこか？

またこの手のミスか😨


トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があ…

はい？？？

こういう事が起きると車に情報登録するの怖いよな

おいおい・・・

そんなことってあるの？

誤って公開設定のままGitHubにアップロードしたのは、意図的な行為だね。この手の原因の言及は信用してはならない。

プロジェクトとしてパブリックにしてたらあれだけど、委託先が勝手にcloneして上げ直したとかだと防ぐの難しいよねぇ。

既視感。個人情報もsecretsもソースコード管理ツール上においてはいけない。

協力会社の人員に問題があるのだけど、対策としては本番アクセスキーはメンバーにファイル配布せず、シークレット管理ツール（もしくは環境変数）を参照する基盤にすることよなあ

アクセスキーをコミットしちゃったか...

不正にアクセスしたわけでもなく、誰でもアクセスできるところに公開してたのだから、そこはもっと強調されるべき。お粗末のひと言

やっぱコアな部分は自社内製でガチガチに固めて作るのが望ましいんかな

すごいやらかしてるw

5年放置はやばいけど
１ヶ月放置してたら5年放置はしそう

もう忘れられてるでしょ
最初が肝心やな

昔の職場でもクラウド好きで機密情報でも共有しちゃう社員がいたけど……

これかぁ。あーーあ。

…マジか(´･ω･)

コミットするときにチェックするフックを入れるのを必須にすべき。

git hooks アクセスキー で検索。

GitHubの法則: 「GitHubを覚えたコピペプログラマは何でもアップしたがる」。

これって似た事件あったよな…他にも埋もれてそう。

GitHubにユーザートークンを置く前提の設計を絶賛いましている

システム屋、「GitHubで公開設定になっていたソースコードにDBアクセスキーが含まれていた」と言われて「？？？」となっている。

GitHubにトークンを平文で置いてはならない…

これはしびれるな...

Publicなリポジトリにアクセスキーアップしたんか.....…

恐ろしい!

そういえばGitHub提督ニキは元気してるんですかね…？

なんと…／

"2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードした"

>誤って公開設定のままGitHubアカウントにアップロードしたこと。
こんなのある？？

ソースコードの公開設定を見直すことみたいなチェックリストを追加すれば大丈夫な話なんだろうか。チェッカーを入れないと厳しそうね。

〉誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ

T-Connectで「メールアドレス」と「お客様管理番号」をお漏らし・・ おそらくAWSのアクセスキーをハードコードするという駄目実装もやばいし、この企業レベルなら管理指摘しない？

うへえ…

『ソースコードにはデータサーバへのアクセスキーが含まれ』 アクセスキーをリポジトリーに入れるのやめようね

closeでやればええのでは…？

GitHubを禁止にする未来が見える

5年も持つんだね・・

▲ ソースコードの不適切な取り扱い
○アクセスキーの不適切な取り扱い

本質的にはソースコードはどうでもいい。

壺エキス濃厚な国民民主推しの愛知県だからね、しょうがないね。
壺式会社トヨタ様

特に影響なさそうとおもったけどLEXUS と連携してる場合は

やってんねぇ

この手の企業はpostmortemの文化とかあるんすかね（コナミ）

隠れた大惨事

今日のG59：

やっちまったな

認証情報をコードに書くのはダメ、ゼッタイ。

> ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。

それは漏洩ではなく公表では。

トヨタ、やらかしちゃったね。

アクセスキーをコミットした時点でアウト
ソースコードの不適切な取り扱いというより、誰一人チェックもしてないし気付きもしてない方が問題なような気が

探索して見つけたら賞金あっても良さそう

そもそも開発用のPCでギトハブにアクセスさせんなよw
なんでアクセス用の端末用意してやらないのか…あたおか

機密情報の業務コードを公開設定にしていた上に、データサーバーへのアクセスキーをソースコードにべタ書きしていたとな…

にゃあの会社はGitHubを使う会社とは付き合わないにゃ。OSS開発は例外にゃが。この後、普通なら損害賠償請求になるにゃが、関連会社にゃらなあなあで終わってしまうにゃ。しかしまあ、色々とお粗末な話にゃ。

TYCとかあるんだから外部に委託すんなよ、、w

これね。
GitHub を使う上で最も気を付けてることだわ。

»

多分アクセスキーが残ってたんだろうけど、そのキーを使うサーバがどれなのか特定は容易だったのかな？5年も放置してて誰も気づかない程度の被害ってことよね ｜

「アクセスキーをGitHubに上げても意外とバレない」という悪い知見

なんで「公開」設定でGitHub載せるかなぁ！！！！！…

タイトル読むだけで胃が痛くなってくるやつ／地獄のなぜなぜ分析開始っ！

ソースコードにはデータサーバへのアクセスキーが含まれ←これをやったやつ（組織レビュー体制）を断罪すべきじゃないかなぁ。暗号化すらされてなさそうな。。
Gitは宝の山だなぁ。悪い意味でも

publicって…

＜ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという＞

こわ。

"ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。"

どこだ？やらかしたの。
トヨタじゃなくても余計な手順増えて仕事しづらくなるやつやん。

こういうの後を絶たんなぁ。

ん？メアドがGitHubで？と思ったら、
DBサーバへのアクセスキーか、、それはそれで信じ難い。

---

…は？

ITmedia

2017/12 委託先企業 ソースコードの一部を誤ってGitHub公開
DBのアクセスキーが含まれていた

9/15 ソースコード非公開化
17日アクセスキー変更

不審なメールを受信した場合は開封せず、消去を求めている

GitHub、たまにこれ公開して大丈夫？って感じの奴あるよね