■ このスレッドは過去ログ倉庫に格納されています
メルカリ「Githubに顧客情報を格納していたら流出しました」ホームラン級のアホだぞこれ [726840538]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 16:58:22.45 ID:wIhnUwMH0.net ?2BP(1000)
- https://img.5ch.net/ico/nida.gif
4月23日、当社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されていた当社のソースコードの一部も影響を受けている可能性がある旨の通知を受領し、速やかに詳細ログの提供を同社に依頼するとともに、当社側でも追加のログ調査を実施いたしました。
その結果、第三者が当社の認証情報を不正に取得・流用し、「GitHub」上に格納されていたソースコードの一部に不正アクセスしていたことが判明いたしました(1月31日以降に数回、その後4月13日から4月18日までの間に集中的に不正アクセスがあったことを確認、また不正アクセスに使われた認証情報は速やかに無効化を実施)
4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
https://about.mercari.com/press/news/articles/20210521_incident_report/
- 237 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:06:37.68 ID:R3QzC2tu0.net
- いやプライベート設定だろうがそうじゃなかろうが社外に個人情報保管はアカンやろ
- 238 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:06:45.31 ID:h1+st8VVM.net
- >>236
ジャップの情報なんとかシって資格、プログラミングとか一切知らなくてもとれるからなwwww
- 239 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:01.11 ID:3MJ5Xybt0.net
- >>18
中国ですら技術発展のために禁止させてないからそろそろ中国追い越せるな
- 240 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:30.45 ID:h1+st8VVM.net
- >>237
そういうことができるインフラの低レベルの会社だからしゃーない
- 241 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:45.39 ID:XmXSThYG0.net
- なんか数日前にSMSに変な日本語のメッセージ来たけど
メルカリのせいだったか FUCK!!
- 242 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:07:52.62 ID:UHWeR7VD0.net
- >>188
集中型コード管理も知っておいた方がいいから無駄にはならないはず、たぶん
- 243 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:10:19.68 ID:RFhP1Vfed.net
- いみふ🤷
- 244 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:11:04.13 ID:zT2j9W3qM.net
- テスト環境、デバック環境が穴になったってことなの?
- 245 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:12:18.12 ID:3MJ5Xybt0.net
- 結構丁寧にレポートしてると思うけど何も見ずにgithub上にデータおいてるとかしたり顔で言い出してるやつばかりですもう終わりだよこの国
- 246 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:17.53 ID:bmXjhrA9M.net
- やっぱりオンプレでソースコード管理すべし
- 247 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:47.30 ID:rqHzKHov0.net
- >>22
プログラミングスクール最低だな
- 248 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:13:50.12 ID:ZoHuzwtjM.net
- メルカリ運営って超無能なんだな
- 249 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:14:31.41 ID:ifUMHx0tM.net
- これがIT先進国ちゃんですか
- 250 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:15:50.74 ID:h1+st8VVM.net
- >>246
awsとかazure環境オンプレで再現はお高いよwwww
- 251 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:16:13.37 ID:h1+st8VVM.net
- >>248
ジャップイット最高峰だぞ…
- 252 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:16:58.21 ID:epC8yaP/d.net
- はあ?意味わからん
- 253 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:17:17.82 ID:112a/pAY0.net
- ジャップさあ…
- 254 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:17:36.79 ID:GZiE6UZv0.net
- テストで本番のユーザーデータ使ってたのか
駄目だわ
- 255 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:18:12.68 ID:RI7gRPO/0.net
- これがクラウドってやつか
- 256 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:18:36.14 ID:cufDlraJ0.net
- >>245
github上に一部の顧客情報等があったことが判明って書いてねえか?
- 257 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:20:15.28 ID:fwfGD2ql0.net
- 認証情報を不正入手してGithubにアクセスしてソースコード覗いたら顧客情報があったってことか
テスト用のデータを本番から引っ張ってきてテストモジュールにぶっ込んでたとかかな
- 258 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:20:30.82 ID:e0w7ADyVr.net
- >>22
メルカトル図法
- 259 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:33.15 ID:67bRgclO0.net
- >>1
GitHubのソース中にあったのは取引先や従業員の情報だけだろ
文盲?
- 260 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:40.26 ID:G4ubggMS0.net
- ユニットテスト周りだけ外部に委託してたとかかな?
メルカリで働くような奴がそんなやばいデータコミットするとか無いだろうし
- 261 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:23:42.26 ID:nXgGsh89M.net
- テスト用データだろうな
青木とか秋山とかって迷惑メール受ける頻度が違う気がする
- 262 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:13.18 ID:GOxwCqPP0.net
- >>259
良かった
- 263 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:37.66 ID:zEPap4bDM.net
- >>259
> 4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
- 264 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:25:39.01 ID:nXgGsh89M.net
- >>53
わりかし普通
- 265 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:26:36.37 ID:ULIj5pEf0.net
- 職場のGithub管理コードにDB接続情報がハードコーディングされていない者だけがメルカリを叩きなさい
- 266 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:26:56.94 ID:VcanbSsy0.net
- 本人確認で免許証と一緒に写した顔写真流出したってホンマ?
- 267 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:28:07.44 ID:LfUN2vUxM.net
- >>262
「メルカリ」の一部顧客情報を含むデータは不正に取得した認証情報経由からの流出なのか
ソースコードからの流出なのか
>4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。
- 268 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:05.26 ID:3xvqKGqo0.net
- privateで流出したならGithubのセキュリティの問題だろ
- 269 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:22.88 ID:8Uv6ATHga.net
- ダンマリなのウケる
クーポン情報の前に知らせることあるだろ
- 270 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:32.82 ID:RiRihZzyM.net
- >>22
な?オッペケだろ
- 271 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:29:52.74 ID:ZmFwW93k0.net
- こわ
リポジトリ全消去しないと残ったままじゃん
- 272 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:32:23.95 ID:OQZWKlVXM.net
- >>45
何やらかした?
- 273 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:33:04.77 ID:u7aua5Dm0.net
- 理解が追いつかない
- 274 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:34:20.20 ID:8J5N/rui0.net
- ネトウヨだんまりで草w
- 275 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:34:30.74 ID:rgKhyxPX0.net
- >>268
理解してないなら発言しないほうがいいぞ
- 276 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:35:00.55 ID:xFfXV8Pn0.net
- ギフハブなら仕方ない
- 277 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:35:06.90 ID:ULIj5pEf0.net
- >>268
んなこと言ったらプライベートリポジトリではCI/CDできなくなっちゃうじゃん
- 278 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:36:58.55 ID:cStQ6FOk0.net
- タモさん…
- 279 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:40:21.86 ID:uhvyAl5+p.net
- 日本のIT弱い
- 280 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:41:10.19 ID:XwonCTPUa.net
- ソースコード自体に個人情報があるのはおかしいが
各環境へのアクセスキーぐらいは置いてありそう
- 281 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:42:24.28 ID:ndH83FXM0.net
- 俺の情報も流出してたりして(^_^;)
- 282 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:42:35.32 ID:IycFOp/90.net
- えっ?と思ったがもう皆突っ込んでたから書かない
- 283 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:45:13.54 ID:Ea5LPOZa0.net
- >>11
産総研が大規模な侵害を受けたのもCI/CDからだぞ
本番と違って開発系は監査対象から外れやすくて穴が多いからな
- 284 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:47:30.90 ID:s+zGM4Ym0.net
- >>69
動いてるからヨシは別にいいんだよ
その上で穴がないか、漏れてないか
外からしっかり確認すればこんな炎上しないのだよ
- 285 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:48:36.78 ID:3xvqKGqo0.net
- 記事の経緯見たらCodecovへの不正アクセスが原因だなGithubほとんど関係ないな
- 286 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:49:46.35 ID:nYvGOVJpa.net
- ギフハプへ暑い風評災害
- 287 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:50:38.78 ID:Ea5LPOZa0.net
- >>265
クレデンシャルひとつあれば外部からアクセス可能な場所に機微情報を置いてる時点で迂闊だよ
便利だからってなんでもかんでも自動化しすぎなんだよ
アホだね
- 288 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:52:48.61 ID:lF5DexJX0.net
- じゃあサーバー建ててgitlab入れるわ
- 289 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:58:00.22 ID:h1+st8VVM.net
- >>268
セキュリティとはどこに預けるか決めるところから始まるんやでぇ
- 290 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:58:11.76 ID:erP5SABf0.net
- 怖いですよね
1発ドカン時のダメージでかすぎて
セキュリティは
フリマユーザーの個人情報程度は軽微だろうけど
- 291 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 18:59:51.62 ID:a5BBHWHO0.net
- DBのバックアップファイルをgithubで管理してたってことか?
- 292 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:00:15.48 ID:f5QD0JXOM.net
- カバレッジ収集したら顧客情報が漏れたでござる←????
- 293 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:00:39.64 ID:KHli3yUBM.net
- >>45
これ真っ先に思いついたわ
詫び解除早くしろ
- 294 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:03:58.59 ID:PeK8nmXG0.net
- メルカリ使ってないから
どうでもいい
- 295 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:04:52.38 ID:GOxwCqPP0.net
- >>267
ダミか
- 296 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:10:00.32 ID:lF5DexJX0.net
- てかSaaS使うんならセキュリティリスクあるのわかった上で使ってるんジャネーノォ?
- 297 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:15:24.05 ID:SqZ4BPkta.net
- Gitとか使いこなせないんだから止めろよ
SVNで充分だろうが
- 298 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:17:26.69 ID:Ew6OrOYi0.net
- githubにキー乗せたらアカンやろw
- 299 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:17:48.09 ID:gAjktGAia.net
- 意識高い風バカばかり使ってるな
- 300 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:20:07.96 ID:qMpLx84h0.net
- >>22
増える個人情報どうやって管理すんの?
都度コンパイルすんの?(w
ぁぁ?
- 301 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:27:50.48 ID:U6ZoDd0q0.net
- いきなり出品してたやつ制限されたんだが流出となんか関係あるん?
- 302 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:30:36.20 ID:WU234ZEUp.net
- >>264
それチクったらわりかし普通にスキャンダルになるけどね
- 303 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:30:42.26 ID:4Pqg4UGuM.net
- >>22
ワロタ
- 304 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:32:41.93 ID:QBQEpvqe0.net
- この会社ユーザーに対して過剰に厳しいからこういう時に叩いておかないとな
- 305 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:40:10.31 ID:90pgYiuu0.net
- いやこれはどこでもやってるだろ
今は顧客情報だけ自社サーバーなんてやってるとこのが少ねえぞw
- 306 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:40:34.82 ID:NtnNr6YjM.net
- 国内最大手のLINEもメルカリも大した技術力が無いってバレちゃったな
- 307 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:42:14.07 ID:tI1RMHcp0.net
- やはりBitbucketに限るな
- 308 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:43:29.35 ID:nXgGsh89M.net
- >>302
金融でもなぜかやってたりするからへーきへーき
- 309 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:43:53.88 ID:Cvmn2JLj0.net
- >>22
よくわかんないけど
すごい人気者でうらやましいです
- 310 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:44:16.29 ID:grOd1PZ/0.net
- >>22
な?末尾rだろ?
- 311 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:44:19.91 ID:2N8Y8BRBM.net
- gitlabがあるのになんでgithubつかうの?🙄
まずそこがわかんないんやが
- 312 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 19:47:04.77 ID:/7lOhf/h0.net
- ギフハブは実在したのか
- 313 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:20:34.64 ID:jyT4wwTg0.net
- >>302
ダメなんだけど
どこもやってるんだよね
- 314 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:23:05.84 ID:Lp/UsPEpM.net
- codecovが原因じゃん
ソース嫁
- 315 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:29:36.24 ID:n5ZeFUzId.net
- テストデータ作るの面倒で本番から抜いたのをそのまま使ってたんだろ
やるならせめて個人情報に関する部分はマスキングしとけよ
- 316 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:32:42.25 ID:jCbgE+rA0.net
- プライベートリポジトリに秘密鍵を置いてたの?
- 317 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:38:30.46 ID:xi/oJmoJ0.net
- >>242
一度svnに慣れるとgitに慣れるの余計に時間かかるようになるじゃん
絶対初めからgit覚えたほうがいいと思うわ
- 318 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:39:39.59 ID:cuUIl2s10.net
- >>308
え、何それは(ドン引き)
- 319 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:39:47.07 ID:98lGmBUAM.net
- この間のlineの問題が可愛いレベルじゃん
- 320 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 20:55:08.27 ID:hlA7/0a90.net
- SVNマンだけどFork入れてgitflow任せでなんとかなっている😁
みなさん手管理でブランチ作ったり消したりしてんの?
- 321 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:11:40.66 ID:kUWYwV/V0.net
- 何か問題あるか?
個人情報なんてどうでもいいだろ
- 322 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:19:10.03 ID:tRh7Wha90.net
- Web系特化のセキュリティ意識皆無のアホ取ればそりゃそうなる ニコニコとかも似たようなもんだ
- 323 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:22:31.79 ID:FJiGvqtt0.net
- 転売ヤーの情報なんて価値無いでしょ😟
- 324 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:26:04.48 ID:Q5QKMK9ja.net
- 流出ではなく公開じゃねーか
- 325 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:36:30.00 ID:GQOagt+80.net
- ん?これ公開鍵使うやつだっけか?
そもそも鍵の管理ちゃんとしろよ🤗
- 326 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:45:49.69 ID:2bPE716n0.net
- >>325
何言ってんの?
- 327 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:47:56.81 ID:7T2Yw/9o0.net
- >>22、ラですね、大漁やね
- 328 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:48:37.96 ID:zyVwf8NH0.net
- やはりギフハブ…
- 329 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:49:20.69 ID:QNOa57Gu0.net
- サブレじゃん
- 330 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:51:09.86 ID:3ywAVrMi0.net
- どうしてくれんの?
- 331 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:53:54.57 ID:j78+M7ub0.net
- 開発用のデータベース持っててそこにアクセスするだろ普通
なんでソースと一緒にアップロードしてんだよ
- 332 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 21:56:35.26 ID:GQOagt+80.net
- >>326
ごめんソース読んでなかった
- 333 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 22:23:39.34 ID:Vajw3Fnl0.net
- オープンデータやな、先進的や
- 334 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 22:27:40.97 ID:r4mI92Yx0.net
- >>50
開発環境のDBにインポートするネタとして本番データをCSV形式で吸い出して、それをローカルのリポジトリ内に保存しておいたら、一式コミットした時に一緒にGitに上がったんじゃないかな。
本番データを開発者のローカル環境に吸い出して置けるってのは、メルカリは本番環境と開発環境を分離出来てないんだろうな。
- 335 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 22:33:04.74 ID:PC5/vAxk0.net ?2BP(2000)
- https://img.5ch.net/ico/001.gif
.gitignoreの使い方も知らないのか
- 336 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 22:36:24.26 ID:O1NS+MQt0.net
- 弊社、無事git禁止となる
- 337 :番組の途中ですがアフィサイトへの\(^o^)/です :2021/05/21(金) 22:38:48.18 ID:cwu+rgiBM.net
- オレんとこもアホが本番で使ってる暗号鍵コミットしよったわ
総レス数 427
94 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200