■ このスレッドは過去ログ倉庫に格納されています
メルカリ「Githubに顧客情報を格納していたら流出しました」ホームラン級のアホだぞこれ [726840538]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 16:58:22.45 ID:wIhnUwMH0.net ?2BP(1000)
- https://img.5ch.net/ico/nida.gif
4月23日、当社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されていた当社のソースコードの一部も影響を受けている可能性がある旨の通知を受領し、速やかに詳細ログの提供を同社に依頼するとともに、当社側でも追加のログ調査を実施いたしました。
その結果、第三者が当社の認証情報を不正に取得・流用し、「GitHub」上に格納されていたソースコードの一部に不正アクセスしていたことが判明いたしました(1月31日以降に数回、その後4月13日から4月18日までの間に集中的に不正アクセスがあったことを確認、また不正アクセスに使われた認証情報は速やかに無効化を実施)
4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
https://about.mercari.com/press/news/articles/20210521_incident_report/
- 182 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:41:35.62 ID:u6FlZc3w0.net
- gitを設計書とかエビデンス置き場にしてるマヌケな会社いくらでもあるからなw
ほんとジャップだわ
- 183 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:41:50.24 ID:cufDlraJ0.net
- githubにアクセスキーとか会社情報上がってないかのチェックってどうやってる?
手動で定期的なチェック?楽にできるアイデアあったら教えてくんね?
- 184 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:41:55.94 ID:eLwd4JcA0.net
- ソースコードとかLineのメモ機能に保存しときゃいいのに
共有も簡単だぞ
- 185 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:43:34.56 ID:K9YEr23f0.net
- 保険証画像おくったわ
修正無しで送ったら番号隠せ言われて却下されて謎だった
- 186 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:44:21.80 ID:PAYUyTKGM.net
- >>22
ホームページビルダーの話か?
- 187 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:45:46.87 ID:U2KPC+Kta.net
- だからgitlab使っとけと言ったのに
- 188 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:46:21.56 ID:RUERq441M.net
- >>113
弊社は未だに新人研修はサブバージョンだぞ
このgit全盛期にサブバージョンなんてやってなんの意味があるんだか
- 189 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:46:23.58 ID:v9q4Z09qa.net
- 流出ニュースになっても利用者は大して減らんだろ
- 190 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:46:29.88 ID:Ee77ISj70.net
- お問い合わせ下さいじゃなくてお前の方から連絡して来ないのか
- 191 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:47:05.56 ID:ynz3hZft0.net
- Privateだったのだろうけど
- 192 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:47:09.21 ID:wIhnUwMH0.net
- >>183
キーとかは本番用の環境設定ファイルを作る
gitに上がらないように.gitignoreで除外しておく
- 193 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:47:22.85 ID:siL3qRqd0.net
- >>22
マジで死ねよ知恵遅れ
- 194 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:48:15.82 ID:abE+4pf1a.net
- >>80
ソースコードに何万行も顧客の名前が書き並べられてると思ってる馬鹿
会員登録したらソースコードが書き換わると思ってる馬鹿
- 195 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:48:27.76 ID:wGci1lQS0.net
- >>187
codecov経由で漏れてるんだからgitlab使ってても同じだよ
- 196 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:50:47.51 ID:abE+4pf1a.net
- >>181
それってソースコードを監視して変更があったらサーバーにpushしてjobまわすわけで、それをgithubで完結と思ってるならおかしい
- 197 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:51:08.69 ID:33BrmYWh0.net
- >>183
ローカル側でfind & grepでいいとおもうが
pythonでツール書くのが柔軟性ありそうかな
subprocessでのgit pushでラップして
事前チェックに失敗したらそこで落とす
そしてそのツールでしかpushしないようにする等
- 198 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:51:22.13 ID:U2KPC+Kta.net
- >>195
jenkinsが正解だったのか…
- 199 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:51:37.00 ID:uBTzQyRz0.net
- ギフハブ最悪だな
- 200 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:52:33.33 ID:h1+st8VVM.net
- アメリカフルボッコにしたロシア天才ハッカー集団にジャップが叶うわけもなくwwww
- 201 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:52:33.40 ID:vq5Evnwsr.net
- 個人情報を外部で管理するのって利用者に説明なきゃダメなんじゃないの?
- 202 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:53:11.48 ID:tjZOFIAId.net
- >>198
それもう別物やがな
- 203 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:53:16.25 ID:h1+st8VVM.net
- >>201
ジャップランドにそんな決まりなどあるわけもなくwwww
- 204 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:53:35.52 ID:7dQBbmMi0.net
- そもそもコミットするときに誰も確認してないのかよw
- 205 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:53:49.47 ID:7Zy+ETSL0.net
- メルカリって前も個人情報の扱いで問題視されてなかったっけ
- 206 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:54:07.08 ID:w1H265d80.net
- チェックはコミット時にレビューサーバーを通す
ここを通すようにhook改変かコマンド作成
ここで簡易チェックも行う
- 207 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:55:01.94 ID:UTVbx3qG0.net
- >>22
誰かこれを解説してくれ
- 208 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:55:03.33 ID:h1+st8VVM.net
- コレガジャップイット自称最高峰だから…
- 209 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:55:04.34 ID:CMsDcGQTM.net
- ソースにサーバーへのリンクと認証パスみたいなのがあったってだけだと思うよ
そんなデータベース的な使い方はできないしギフハブ
- 210 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:55:47.16 ID:7Zy+ETSL0.net
- >>188
俺が前に勤めてた企業もsvnだったわ
海外開発したソースはファイルで貰って手作業でマージしてた
- 211 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:55:59.76 ID:h1+st8VVM.net
- >>209
データベース?
単にファイル全部載っけてただけだぞwwww
ジャップイットなめんな
- 212 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:56:06.98 ID:cufDlraJ0.net
- 月曜にお前らも顧客情報上げてないか確認しろって言われるんだろ?
- 213 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:56:17.38 ID:zXN2ubTH0.net
- 日本のIT企業でも行き当たりばっかりで良く解らないけど動いてるからよし!でやってるんだね
日本語化MODをDLさせて貰ってるから何をしでかしたかは何となく解るぞw
- 214 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:56:18.35 ID:7dQBbmMi0.net
- アフィカスの煽りの釣りレスにマジレスする奴はいないw
- 215 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:56:48.50 ID:DXYN+dPEM.net
- 転売ヤーサービスざまぁ
- 216 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:56:56.82 ID:h1+st8VVM.net
- テスト用()個人データを2万七千件分アップしてましたwwww
それだけwwww
- 217 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:57:41.76 ID:+IN1Nqec0.net
- >>183
GITのデーター全部おとして指定ワードでgrep書けるように自動化しといたらある程度自動でわかるやろ
- 218 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:57:56.46 ID:KEs3jvrH0.net
- これテレワークしにくくなったりしない?
テレワーク始まる前からクラウドで管理されてたの?
- 219 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:58:05.27 ID:H73xgT8a0.net
- >>22
小学生が最近覚えた言葉を並べて文章を書いてみたって感じ?
- 220 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:58:48.69 ID:+QIl7rWK0.net
- もう売りあいですよ
足の引っ張りあい
- 221 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:58:59.40 ID:1E6OVfQr0.net
- ソースコード上に個人情報がある
それをGitHubにうpする
二重に意味不明なんだが
- 222 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 17:59:47.51 ID:78iRBv1q0.net
- >>22
頭湧いてんのか?
- 223 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:00:11.38 ID:h1+st8VVM.net
- ギフハブにからazureとかawsのテスト環境にウプ
アクセスはそこからだけ許してあるから、セキュリティ()万全!
ジャアアアアアアアアアwwww
- 224 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:00:19.76 ID:kMQbuJjQ0.net
- GitHubってよく分からんけどGit管理じゃダメなのか?
- 225 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:00:48.30 ID:9M7v1tPX0.net
- ハッカーにありがとうございましたと言うべき
- 226 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:00:56.09 ID:+IN1Nqec0.net
- VSSってもうだれもつかってないんけ?
ファイルつかんでるひとのところにいっていれてってお願いとかもうせんでええの?
- 227 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:01:08.46 ID:L7IK5UDPM.net
- またギフハブの仕業か
- 228 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:01:27.02 ID:h1+st8VVM.net
- 正規手段使ってるからハッキングされても自分達に責任はないとか思ってそうwwww
- 229 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:02:19.79 ID:h1+st8VVM.net
- ※これでも一応、ジャップイット最高峰(自称)
- 230 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:02:34.50 ID:cufDlraJ0.net
- まあCodecovがやられるのと個人情報置かないルールなのに置いてあった不幸が重なった結果だよね
- 231 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:02:45.40 ID:Z2aIPSyB0.net
- ASKA先生…これが…貴方の言っていた敵なのですね…
- 232 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:02:56.58 ID:b0GGSk1h0.net
- >>127
プッシュ前にプルしなよ
- 233 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:03:30.09 ID:2bPE716n0.net
- >>22
バーカ
- 234 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:03:55.57 ID:L7IK5UDPM.net
- マジな話一番最初に入れたやばいものは.gitignoreで指定しとけよ
こんなん新人でもできるぞ
- 235 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:05:00.72 ID:UGjMqF2za.net
- アプリの更新していいの?これ
- 236 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:05:25.29 ID:Z2aIPSyB0.net
- おまんら>>22馬鹿にしてるけどさ、防衛省ブランドの事を考えると"本職"でもおかしくないんだぞ
- 237 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:06:37.68 ID:R3QzC2tu0.net
- いやプライベート設定だろうがそうじゃなかろうが社外に個人情報保管はアカンやろ
- 238 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:06:45.31 ID:h1+st8VVM.net
- >>236
ジャップの情報なんとかシって資格、プログラミングとか一切知らなくてもとれるからなwwww
- 239 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:01.11 ID:3MJ5Xybt0.net
- >>18
中国ですら技術発展のために禁止させてないからそろそろ中国追い越せるな
- 240 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:30.45 ID:h1+st8VVM.net
- >>237
そういうことができるインフラの低レベルの会社だからしゃーない
- 241 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:45.39 ID:XmXSThYG0.net
- なんか数日前にSMSに変な日本語のメッセージ来たけど
メルカリのせいだったか FUCK!!
- 242 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:52.62 ID:UHWeR7VD0.net
- >>188
集中型コード管理も知っておいた方がいいから無駄にはならないはず、たぶん
- 243 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:10:19.68 ID:RFhP1Vfed.net
- いみふ🤷
- 244 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:11:04.13 ID:zT2j9W3qM.net
- テスト環境、デバック環境が穴になったってことなの?
- 245 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:12:18.12 ID:3MJ5Xybt0.net
- 結構丁寧にレポートしてると思うけど何も見ずにgithub上にデータおいてるとかしたり顔で言い出してるやつばかりですもう終わりだよこの国
- 246 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:17.53 ID:bmXjhrA9M.net
- やっぱりオンプレでソースコード管理すべし
- 247 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:47.30 ID:rqHzKHov0.net
- >>22
プログラミングスクール最低だな
- 248 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:50.12 ID:ZoHuzwtjM.net
- メルカリ運営って超無能なんだな
- 249 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:14:31.41 ID:ifUMHx0tM.net
- これがIT先進国ちゃんですか
- 250 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:15:50.74 ID:h1+st8VVM.net
- >>246
awsとかazure環境オンプレで再現はお高いよwwww
- 251 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:16:13.37 ID:h1+st8VVM.net
- >>248
ジャップイット最高峰だぞ…
- 252 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:16:58.21 ID:epC8yaP/d.net
- はあ?意味わからん
- 253 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:17:17.82 ID:112a/pAY0.net
- ジャップさあ…
- 254 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:17:36.79 ID:GZiE6UZv0.net
- テストで本番のユーザーデータ使ってたのか
駄目だわ
- 255 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:18:12.68 ID:RI7gRPO/0.net
- これがクラウドってやつか
- 256 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:18:36.14 ID:cufDlraJ0.net
- >>245
github上に一部の顧客情報等があったことが判明って書いてねえか?
- 257 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:20:15.28 ID:fwfGD2ql0.net
- 認証情報を不正入手してGithubにアクセスしてソースコード覗いたら顧客情報があったってことか
テスト用のデータを本番から引っ張ってきてテストモジュールにぶっ込んでたとかかな
- 258 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:20:30.82 ID:e0w7ADyVr.net
- >>22
メルカトル図法
- 259 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:33.15 ID:67bRgclO0.net
- >>1
GitHubのソース中にあったのは取引先や従業員の情報だけだろ
文盲?
- 260 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:40.26 ID:G4ubggMS0.net
- ユニットテスト周りだけ外部に委託してたとかかな?
メルカリで働くような奴がそんなやばいデータコミットするとか無いだろうし
- 261 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:42.26 ID:nXgGsh89M.net
- テスト用データだろうな
青木とか秋山とかって迷惑メール受ける頻度が違う気がする
- 262 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:13.18 ID:GOxwCqPP0.net
- >>259
良かった
- 263 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:37.66 ID:zEPap4bDM.net
- >>259
> 4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
- 264 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:39.01 ID:nXgGsh89M.net
- >>53
わりかし普通
- 265 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:26:36.37 ID:ULIj5pEf0.net
- 職場のGithub管理コードにDB接続情報がハードコーディングされていない者だけがメルカリを叩きなさい
- 266 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:26:56.94 ID:VcanbSsy0.net
- 本人確認で免許証と一緒に写した顔写真流出したってホンマ?
- 267 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:28:07.44 ID:LfUN2vUxM.net
- >>262
「メルカリ」の一部顧客情報を含むデータは不正に取得した認証情報経由からの流出なのか
ソースコードからの流出なのか
>4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
- 268 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:05.26 ID:3xvqKGqo0.net
- privateで流出したならGithubのセキュリティの問題だろ
- 269 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:22.88 ID:8Uv6ATHga.net
- ダンマリなのウケる
クーポン情報の前に知らせることあるだろ
- 270 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:32.82 ID:RiRihZzyM.net
- >>22
な?オッペケだろ
- 271 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:52.74 ID:ZmFwW93k0.net
- こわ
リポジトリ全消去しないと残ったままじゃん
- 272 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:32:23.95 ID:OQZWKlVXM.net
- >>45
何やらかした?
- 273 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:33:04.77 ID:u7aua5Dm0.net
- 理解が追いつかない
- 274 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:34:20.20 ID:8J5N/rui0.net
- ネトウヨだんまりで草w
- 275 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:34:30.74 ID:rgKhyxPX0.net
- >>268
理解してないなら発言しないほうがいいぞ
- 276 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:35:00.55 ID:xFfXV8Pn0.net
- ギフハブなら仕方ない
- 277 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:35:06.90 ID:ULIj5pEf0.net
- >>268
んなこと言ったらプライベートリポジトリではCI/CDできなくなっちゃうじゃん
- 278 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:36:58.55 ID:cStQ6FOk0.net
- タモさん…
- 279 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:40:21.86 ID:uhvyAl5+p.net
- 日本のIT弱い
- 280 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:41:10.19 ID:XwonCTPUa.net
- ソースコード自体に個人情報があるのはおかしいが
各環境へのアクセスキーぐらいは置いてありそう
- 281 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:42:24.28 ID:ndH83FXM0.net
- 俺の情報も流出してたりして(^_^;)
総レス数 427
94 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200