【佐賀市】HPでマイナンバーカード・運転免許証・源泉など 1年半閲覧できる状態…市「業者がアクセス制限をかけ忘れた」 [ばーど★]
■ このスレッドは過去ログ倉庫に格納されています
※NHK
佐賀市のホームページで、マイナンバーカードや運転免許証などの個人情報が写った66人分の画像データがおよそ1年半もの間、外部から閲覧できる状態だったことがわかり、佐賀市は関係者へ謝罪するとともに、個人情報が悪用されていないか確認を急いでいます。
佐賀市によりますと、市のホームページから閲覧できるようになっていたのはマイナンバーカードのほか、運転免許証や住民票、源泉徴収票などが写った画像データ、66人分です。
特定のURLを入力すると、これらの個人情報の保管先につながるようになっていました。
市によりますと、アクセス件数は履歴が残ることし1月以降だけでも982回に上るということで、個人情報が漏えいした可能性があるとしています。
市は、行政手続きなどの一環で、画像データを市民などからホームページを介して送ってもらっていたということですが、ホームページを改修した際、業者がアクセスに制限をかけ忘れたことが原因だとしています。
佐賀市は関係者に謝罪するとともに、個人情報が悪用されていないか確認を急いでいます。
市は「多大なるご心配とご迷惑をおかけして申し訳ありません。情報の管理を徹底して再発防止に努めます」と話しています。
2021年3月2日 0時34分
https://www3.nhk.or.jp/news/html/20210302/k10012892561000.html?utm_int=news-ranking_social_list-items_005 公務員なんてバカしかいないからな。
民間だったら三日持たない甘え切った肥溜め。 アクセス権以前にホームページのドメイン内にそんなのおいてるのかよw マイナンバーわかったら全国からアクセスされるよね? これで誰も責任を取らないのが公務員。訴えられても税金で払うので無敵の公務員です。
責任者と直接の担当は全員懲戒免職が妥当だろう。 >>7
サイト内のサーバーに重要データを置いてること自体がまずありえないよな
業者にせいにしてるが その66人の中に役人に嫌われてるヤツがおるんやろ
ほんま、連中の嫌がらせはえげつないで〜 >>13
香川ゲーム規制のパブコメ偽造事件も未だに裁判中だしな
なあ香川 謝って済むのかw 民間企業が同じことをしたら、法的に罰せられるかも。 言い訳しても、発注者責任ってあるからなあ。
システムは自治体単位で用意しないで
用意されたものを用意されてる範囲で
使ってもらうようにした方が良さそうだね
日本の中に用意できるところがあるか分からんが 佐賀市民が今回の件をきっかけに事件に巻き込まれても
市は因果関係を頑なに否定するだろうね >>1
再発防止に勤める意思があるなら
こういう事件が起きたら職員の個人情報全部世間にさらせよ マイナンバーの再交付とかしないとだめだろ
紐づけされて全部ダダモレだわ アクセス制限…?
DMZがもともとないネットワーク構成だったとか?
信じられん だからジャップ公務員にデジタル管理なんて無理だって(笑) 業者が〜とか新卒の言い訳かよ
それが通る公務員ってチョロいっすね みずほ銀行もだけど、業者利用してていざとなったら何も対応できない 免許証は警察(県警)管轄
なのになぜ、市が知っているのか >>7
ホームページを通じて市民から送られた画像らしいのでそこに入る仕組みだったんだろうな >>27
中央「中国に流れてるのは佐賀のデータ。我々は悪くない」
このラインに沿って書き込んでください これは酷すぎ。マイナンバーもだけど、住民票って現住所の他にも過去住所や配偶者名ものってたんじゃないの? 業者がアクセス制限をかけ忘れたのに、発注した側の責任者は誰も完成品をチェックしてなかったの? 検索でこれ公開されてるの?ってPDFファイルに直撃することはたまにあるな
(表から見る方法がわからなくて、リンクを削除してる形跡もないもの) >>33
文系支配の公務員にそんな有能な人物はいない
公務員の仕事は業者に仕事を発注すること 契約時に納品時の確認項目のリストを誰か三者にチェックしてもらえよ >>1
>行政手続きなどの一環で、画像データを市民などからホームページを介して送ってもらっていた
こんなことある? >>39
想像力の著しい欠如が認められ
社会生活の資格が無い典型的な障害者だね君 地方公務員を信じちゃ駄目よ
高卒コネ議員はやくざ支配なんだから
地方の県庁所在地でもこれだからね
町村は当然で中核市未満は最初から信じちゃダメ 免許証とか、ちょっとしたネットバンク登録とかなにかしら登録できちゃいそう。住民票やら情報は揃ってるし もしかして・・・業者のせいにして誰も処罰されてないの? 役所もそうだけれど民間も30年前で止まっているところだらけ
氷河期殺し尽くしたからね
内部で新陳代謝が起こらない自浄作用が働かない
結果失われた30年よ 一年半閲覧できる状態にあったが実害なし
つまりお前らの情報は価値がないんだよ でお咎めなしだろ。なんでこんなやつらに個人情報預けなきゃいけないんだよ。 でも誰も責任取りません
まずここから作り直しましょうか?
じゃないと緊張感なんて無くなる うちも55歳以上のベテランが新人教育してるよ
新人教育は納期ないからな こういうのはよくある話だよね。もちろんいいことではないけど、テンポラリなURLは結局人に知られないから実害が起きずにすむというやつだ。 こういうことをやらかしても、全く公務員は責任を取らないからな。仮にとっても、意味のない責任のとりかた。
こんなことやってるから、国が全く信用されないんだよ。 自治体ごとにシステム発注してるから旨みが少なくて狙われない側面もある
日本全国で同一のシステムになるとハッカーも本気出してくるから >>69
利活用の必要性がないからな
まだ伸び代のある国ならいいが日本ではメリットがないかあっても政治家が潰す >>1
これはヒドイわ
やっぱり役所なんて信用できんな
1年半もってひどすぎる >>81
公務員は民間みたくやらかしたら即クビやら左遷がないから調子に乗る これ、漏れたら番号変更とかしてもらわないと
個人の損害はでかいとおもうよ。一生このまま漏れ番号で人生すごすんですか? 設定ミスであることは明らかで、テスト項目漏れなんだろうな。
確かに、利用者(役所)としては使っていて気づくことはない。 >>1
IT後進国だから行政による個人情報流出も許される国 (´・ω・`)これ通報したけど「あー、はいはい」で終わってまともに対応してもらえなかったらしいなw なに業者頼りで仕事やってんだよ
今皆しんどい中で税金払ってんだ
自分たちでやって他に委託せず節約しろ
国難だ税金で生きてる公僕は牛馬の如く働いて納税者に尽くせ >>1
処分は?
業者はもちろん、担当部署の公務員は
もちろん処分だよね
責任とらせないから何度でも起きるんだよ アクセス制限wwwwwwww
他人のせいにするなよwwwwwwwwww こんなヤバイ物上げてるなら普通はチェックするぞwwwwwww マイナンバーカードになんでもひもづけはこwじな
役所のセキュリティガバガバ >個人情報が漏えいした可能性があるとしています
なぜ「あるとしている」というあやふやな言い方をするのだ?
ここは危機感をもって、「あります」と言えよ。
ほんとどこまでも楽観主義の事無かれ主義の平和ボケ連中だな。 おれなんかグーグルフォトとかでも万一外から見えちゃわないか一旦ログアウトして試すのに
こういう大雑把な性格に生まれたら人生楽だろうなと思うよ そりゃ業者は指示通りに作らなかったんだから悪いけど
発注した側に責任がないわけでないのも当然だな。 こういうのがある不安があるから
色々紐付けしたくないんだよ 公務員は自分ではちっとも勉強しないからな(´・ω・`)
基本的にアタマが悪い 全国の自治体やら団体やら組織やらのホームページを
しらみ潰しで解析して漏洩している情報を集めてるヤツいそうだな え?あれだけ罰則とか騒いで民間に負担押し付けたのに、公務員は言い訳すれば許されるの? >>100
> こういうのがある不安があるから
> 色々紐付けしたくないんだよ
だよね cocoaもそうだったね 去年の9月以降は全く無能だったしね ネット後進国日本だからね マイナンバーカードは多分表面だろうし住所氏名生年月日かな?
運転免許証は免許証番号があるからさらに良くない。
源泉に至っては。
まあ、市民がどんな画像を送ってくるかなんて事前にわかるわけではないが、
だからこそなんだろうね。 マイナンバーカードってなんだろうな
個人情報流出カード? ちゃんと機能すればとても便利なのに邪魔する勢力がいるってことだな。 役所の担当者はITパスポートすらないだろこれ
適任者がいないからと、発注側も素人しか居ないとかダメだからな
まともな検収上げられないだろ チェックしなかったのなら担当者の責任じゃないか
クビはよ 佐賀市は住民情報管理システムをサムスンSDSに発注して話題になったよね。 公務員は生活の安定目的だけで就くお仕事
いわれるまでなにもやらない
自主的に学ぶこともしない
役所として必要がでてくると研修を用意してお仕事についていただく
すべてが待ちの姿勢
定年まで、その後も安泰
それだけ 自治体の数だけセキュリティホールはあると考えた方がいいな 66人とか中国じゃあるまいし少なく言っとけばいいってもんじゃない
66人だけ特別なページとかないから
常識的に全登録者の見れるから >>62
本人が後で確認出来るように送った画像見えるページでも用意してんのかね
いらんサービスやわ さすがのIT先進国
この百年で磨かれた技術はNAKANUKIだけだったな 公務員なんてなるまでは大変だけど、なったら定年まで適当にやりゃいいだけだからな >>103
一律に頭が悪いってのは違う
正確にはクズの上長のせいでおかしくなってる 平井大臣がマイナンバーカードは鍵なんですって力説してたぞ
鍵なんかいらんかったんや >>90
なんてこんなバカが揃ってるのか
新幹線通させない頭の固さがそのまま出てるな >>7
市庁舎内のLANで共有する時点でデータとしてサーバ上にあるのは当然。
そのデータは市役所の支所や県でも扱うわけだから、当然外部からもアクセス出来る状態に無きゃ意味無い。
要はそのデータに誰でも簡単にアクセス出来る状態にしていた事が問題なだけ。 インターネット初期のホームページみたいだな
ドメインをいじると親ディレクトリがぜんぶ見えちゃったりするの >>108
ココアは漏洩してねーし。むしろ絶対安全。なんせ情報が入ってこないし。 これだけやってもただ見せかけの謝罪だけ
誰も刑事罰を受けないし被害者に賠償金が支払われるわけでもない
これでマイナンバーにあらゆる情報を紐付けたがってるクソ無能政府に諸手を挙げて賛同って
工作員でもなきゃ真性の知的障害者だよなw ※何も改善されません。またどこかの自治体が同じことやらかします。 やらかすに違いないと思ってたら、案の定だ
だからマイナンバーカードなんて嫌なんだよ
ド素人並みのセキュリティのところに重要な個人情報を集約するなんて自殺行為だ ネットに繋がってる限りセキュリティなんて有って無いようなもの >>130
なんで県で扱うんだよ。
支所も普通は要らんだろうが、どっちにしてもプライベートネットワーク経由にするかIPを制限した上で認証をかけるなどの方法が適切と思える。 >>84
ヤフーとかやらかしてたけど誰かクビ切られた? >>1
まあ、リコール署名偽造の舞台になるくらい緩い
だからあの犯罪の場に選ばれたんだな
今もなにか起こってるだろ わざと?
こういうことあるのなら、やっぱりマイナンバーカードいらないや、って思う マイナンバーやマイナンバーカードを神聖視する人が多いが、
実際のところマイナンバーカードがコピーされたところで大したことにはならないぞ。
大したことにならないからと言って流出していいというわけではない。それは免許証、パスポート、健康保険証でも同じだけどさ。 業者がかけ忘れた上に
我々も確認を怠りました
でしょ? アクセス制限以前にそういうのを普通のネット回線につなげるなよ。総務省はお触れを出すべき >>148
普通に設計すれば役所内のネットワークは役所のサーバのネットワークとは別なので、
役所からインターネット経由でアクセスさせること自体も必ずしもおかしくはない。 これを人間に例えると
公衆の面前で全裸四つん這いにされて肛門の皺数まで知られてしまった感じですか
ひどすぎます 一年半て長くね?
年に一度のメンテとか確認みたいなのとかそういうことも行われてこなかったてことでしょ こういうのって全国でシステムを統一したりしないの?
色々と地方に丸投げするのも無理があるのでは >>158
役人「そこでデジタル庁なんですよ(ドヤァ)」 この調子じゃ、引っ越したり結婚したりのデータ入力漏れとかもあってグダグダなんじゃねえかな 朝日新聞なんか必要ないのに検索回避タグつけてるというのに >>157
年に一年のメンテでそんな確認なんてするところはないだろw
メンテ関係なくいつでも確認できるんだから。
メンテ時は時間も少ないので改修箇所絡みの確認を実施しつつ、既存箇所については基本となるフローを確認する程度に留まる。 これが有るからマイナンカードなんか怖くて作れないって。
こんな事が起きても誰も責任取らず、ろくな対策もせず有耶無耶だろ。
カードに免許証や保険証を組み込むなんてあり得ないわ。 佐賀県は県の基幹システムをサムスンSDSに発注した所だからな こんな奴らが番号で国民を管理しようってんだからお笑いだ >>158
早くやった方がいいと思うけどもう20年くらい言われ続けている気がする
いまどきシステム持ってる組織内にITの専任部門がないってのは致命的だな >>164
?
カード作らなくても住民登録されてれば台帳には載ってるから漏洩するぞw >>121
ファイルがサイトの公開ディレクトリ配下に保存されていて誰でも取得出来る状態だったってだけで意図して用意されていたサービスじゃないと思うぞ マイナンバーカードの申請手続き用ぽい奴が届いたんだけど、
これ見てゴミ箱にダンクしたわ 佐賀市は、これで誰も責任取らないんだから呆れる。
民間なら、会社は信用問題で傾くし担当者は懲戒解雇だよ。
白蟻公務員様はなんの責任感も抱かず大層なご身分ですなぁ。 さすがクズキムチニッポンのクズヤクニン(爆笑)
国を食いつぶしただけのマヌケっぷりw こういうのもあって、画像やらテキストやらを添付して企業などに送るサイトでは「個人情報を送るな」と書くんだよな。
佐賀の場合は送られることを想定してたように思われるので禁止はできないが
その分だけアクセス制限に気を遣わないといけなかった。 どうせ市側がアクセス制限解除しろって業者に言って、業者が契約終わる辺りで制限かけてねって言われたパターンじゃねえの >>7
まぁ 置くこともあるけどhttpデーモンが触れる範囲には絶対置かない >>9
マイナンバーとマイナンバーカードの違いくらいは、学習しなさいよ
マイナンバー自体にはそれほどの価値はない、せーぜーが本名と紐づけられてるくらい
マイナンバーカードはマイナンバーサービスが受けられるカードで、要は行政用の会員カードみたいなもん
このカードを盗難され、且つパスワードを知られていたら、行政の保有してる個人情報が漏れる恐れがある ネット経由の本人確認って怖いよなあ
まあ、お金関連以外の個人情報なんて、価値なんてなさそうだから
別に漏れてもいいのかもしれんけどさ 記載されてる情報を読めば、なにが漏れたかも想像つくけどな
給付金で本人確認の為に送った、画像データがそのまんま保存されてたんだよ >>140
大企業にも色々ある
自浄作用の働くところと隠蔽体質が蔓延るところとね >>1
ここのコメントで行政側が一方的に叩かれてるのは何でなんかな?
マイナンバー関連の個人情報をネットで送る仕様もクソだから市を擁護するつもりはないけど、制限かけ忘れたのは業者なんだから「公務員が無能で民間の方が優秀」という主張をするのは無理があるわな。 故意か過失かもわからないし漏らしたもん勝ち
個人情報の売買で大金が動くのだからやらなきゃ損
庶民がとれる手段は
情報をなるべく一元化させない
これにつきる 単純なアクセス制限の問題ではないでしょ。
確認画面なんかで利用者自身がアップロードした写真を表示するようになってるだろうから、このURLが任意にアクセスできちゃっただけだと思う。
IPアドレスなんかで単純にアクセス制限かけたら、アップロードした本人もそういう確認ができなくなっちゃう。
根本的には認証の問題だし、推測可能で確率的にも簡単に当たるURLというのも問題で、結局作りに大きな原因がある。
認証については広い意味でアクセス制限と言えるかもしれないが、説明に誤魔化しがあると思う。 >>190
そんなゆとり業者に任せること自体がそもそもの失敗
行政の上がことごとくIT音痴なせいでまともに業者の選定もできてないのが問題なのだから叩かれてもしょうがなくね 実際のところ、発注した内容をすべて検収で確認することなどはありえない。
それはプロの方が正しいやり方を知っているし、とんでもない時間がかかるから。
よって業者に渡した仕様について、それをすべて確認したと言われる報告(テスト項目書くらいはある)を受領する形になる。
購入したもののテストををすべて発注者がやるわけでなくそれが普通なので、
発注者が全て悪いというのは筋違い。
ただ、結果として問題が起きているので、例えば発注先は適切だったのか、検収は適切だったのかなど、発注側の責任も問わねばならない。
テストしてないのにテストしたと業者が嘘をついてたとか、十分に信頼性、実績のある企業だったとかで、役所側に落ち度が認められない可能性もあるけど。 県知事が辞職すべきかもしれん
そのレベルの重大過失 >>1
謝罪じゃなくて
きちんと法で処罰しないといかんのではないか? 5000円で動く人の顔と名前住所生活レベルばれてしまった 謝って情報を公開ってのは業者のペナルティーレベルだが
1年半放ったらかしってのは業者レベルではすまされない
これは市長が辞職すべきだろうな 忘れたテヘペロ
→罪を責める
→個人を責めるのは良くないとウヤムヤに
どうせこんな流れになるんだろ? 市民なんか税金納める奴隷にプライバシーなんかないからへーきへーき >>192
なるほど、添付した書類を本人がネット上で確認できるというのは
そういう仕様が関係してるのか 佐賀なんて50人くらいしか住んでないからどうでもいいだろ 自治体レベルでやってるからだよ
こういうのは国が一元管理したらええねん
もっと被害が大きくなりそうやけどねwww >>202
この事件の重大さがわかってないやつはそういうよな
これマジでやばいんだぞ >>13
公務員の娘は盗んだ税金で作った違法肉便器だからな
没収して市民の公衆肉便器にするべき >特定のURLを入力すると
昔よくあったな、特定URL入れると簡単に会員用ページ見れるHP
今は知らない >>209
正直言ってよくあるインシデントですよ。もちろん、非常によくないけど。
具体的にどのように重大で、どのように県知事が関係しますか? >>35
今時ホームページをHPとか言わんよな!
ヒットポイントもHP 業者は発注時に依頼されなかった事はやらない。
どうせメールフォームに添付ファイル付けて送信できるようにしてくれ
とか言って発注したんだろ。
気が利く業者なら何を送らせるか聞いて重要な個人情報なら
セキュリティ的におすすめできないとか助言するだろうけど。 仕組みとしては、あっぷろだサイトと同じなんじゃないか
だから閲覧可能になってしまったんだろ ネットに繋いでいないパソコンだけで管理できないの? >>130
アップロードデータをWEBサーバの公開フォルダ以外の場所に保存するだけだぞ 1年半もスプールに置いておくのが間違ってる
手続きが終わったら消すべき ウェブ上から不特定多数がアクセスできたって事は、
アクセス制限をかけるかけないではなく、
Webサーバの公開ディレクトリに個人情報をおいていたってこと
公開してはいけないものは非公開ディレクトリに置くのが「当たり前」なわけで
なんで公開ディレクトリに置いてたの?って話になる
これ、ミス云々の話じゃないんだよね
作業者の知識が皆無 or 意図的にやった
のどちらか >>221
公開ディレクトリというのが何を指してるのか分からないけど、
公開される場所にアクセス制限をかければ当然非公開になるわけだが。 >>223
>>221が言ってるアクセス制限てのはBasic認証とかのことで
公開ディレクトリてのはパーミッション777とかのことでしょ >>1
>市「業者がアクセス制限をかけ忘れた」
お前らが最終チェックをしなかっただけだろがーーーーーーーーーー なんでそんな所にそんなデータ置いてあるんだよ
って思ったけどアップローダーみたいなもんあったよかね?
利用者数66人つーのが泣ける 公開ディレクトリというのはわからんが、例えばレンタルサーバとかのカンタン設定的なものを想定してるのかな?
基本的にはhttpdはdocument root以下のすべてを公開する。
そこにアクセス制限を加えたければ、そのような特殊(というほどでもないが)設定を加える形となる。IPとか特殊なヘッダとか。
あるいは、さらに別のアプリケーションサーバ(例えばtomcatとか)にそのまま渡して、そちらで認証させるのもある。
今回、アップロードされたファイルをどこにおいたのか。NFSなのかs3なのかローカルのファイルシステムなのかなどは全くわからないけど、いずれにしても、そこにアクセス制限をかける(ユーザ認証やらIPやら)というのは普通だね。
>>228
パーミッションなんて関係あるのかな。
そもそもユーザ権限を取らないと意味のない話だよね。 これなんだよなぁ
マイナンバーカードへの紐付けが微妙なのって
反対じゃないけどセキュリティがばがばでしょ確実に 結局、今回はフォームから画像をアップロードする先として、
/var/httpd/html/tmp/乱数.jpg
みたいなところを使ったということだろうか?
で、バッチなのかqueueを利用したworkerなのか知らんが、このファイルをメールとして担当部署に送信。
最初から/var/private/tmp 的なところに置けばいい気もするが、アップロード前の確認表示とかもあって、処理を簡単にするためにそうしたのかも?
やるべきことは、乱数ファイル名のファイルに対して適切なトークン付でないとアクセスできない形にすることと、処理完了後に削除することかな。(つまり、アップロードした人だけがその確認時に見られるようにする。)
あるいは、確認ページをなくしちゃうというのもかんたんだ。 「宗教系大学は学歴として認めない」人事担当者が言い出したので窘めたら鳩が豆鉄砲を食ったような顔をした話
http://rdase.rdnchome.net/ryYP/127368876.html 佐賀県の見解を見るに画像はクラウドなどではなく、直接に「保存フォルダ」に設置されていたのか。
特にアップロード確認ページが あったとか書いてないので存在しなかったのかも。
であれば、最初から/var/private/tmp的なところに置いてれば問題はなかったかもねー。 なんでわかったんだろ
佐賀市のホームページで
探した奴がいたんだろうな >>240
市のページの「各課へのお問い合わせ」から情報提供があったんだって。
それが2/25の夕方で、それを確認して遮断したのが翌日2/26の朝だそうだ。 >>226
本職といえば本職だが?
Apacheなんかバージョン1.xのときから使ってたし
公開ディレクトリとはDocumentRoot以下の事だ
例えばWordPressはDocumentRoot以下に全てのファイルを置くアホが多いが
本来そんな事する必要ないわな
だって公開=第三者がアクセスする必要のないファイルたくさんあるのだから、
そのファイルはDocumentRootの外=非公開ディレクトリに置けばいい
公開・非公開って概念、それこそ「本職」なら当たり前に知ってる事なのに
パーミッションとか言ってる時点で「ド」が付く素人だよw 謝っておわり
そしてみなさんより良い生活できますw わざとでーす
業者に個人情報を流すにはわざと公開しまーす >>245
私はパーミッションの話なんてしてないよ。何を読んだのか知らんけど。 いずれにせよ、document rootの下に設置するかどうかは、第三者に提供するかどうかなど何の関係もない。
単純にそのファイルをhttpで提供するかどうかという話だな。誰にも見せないならば、そんなところに置く必要はない。
特定の人にだけ見せたいならばそういう認証をかける。
何の認証なのかは場合によるだろう。 情報を漏らした奴は死刑くらいの重罪にしないと
この国での漏洩は止まらない 業者の責任にして、役所は責任逃れ。
下請けも部下のようなものだろ、責任を取れよ、無能が。 中国にデータ流失のニュースどうなったの?
なんかうやむやに誤魔化した感があるけど >>196
「公務員は無能、民間じゃ通用しない」とかの叩き方がおかしいと言ってるだけ。
この件では民間の業者のミスだし、無農業者に任せた市の失態には違いないが。 googlebot「みんなー お宝だよー
search.msn「どれどれおじさんが調べてあげよう
applebot「そんなうまい話がうひょおおおwwww
search.line-apps「本国に転送
hosted.static.webnx「記念ッパシャ! あんまり関係ないが、wordpressを自力でApacheとかで運用するのやめてほしいんだよな。
まともに管理できている例をあまり見ない。
そもそも使うなという話もあるが、どうしても使うならマネージドなホスティングサービスを使ってほしい。
詳しい人でもめんどくさいのに素人に毛が生えた程度のが運用すると脆弱性対応とかがまともになされない。
役所や企業でもよく使ってるのを見るけど。 >>240
特定のウェブアプリ用のフレームワークや
特定のCMS(有名なのはWordPressとか)でサービスを構築していると
あるファイルがアップロードする場所は、(設定を変えない限り)ある特定の場所になる
で、サービスがどんなものを使って構築されてるか?ってのは、
例えばそのサービスのHTMLのソースを見るとか
例えばセッション(ページを移動しても必要なデータを一時保存する方法)の名前を見れば、
多少の知識があればすぐ分かる
で、これは○○を使ってるから、××の場所にアクセスできるかな?
とやる
○○=WordPressなら、××=/wp-content/uploads...とか
こういうミスは××を公開ディレクトリに置くから起こる
非公開ディレクトリに置けばそもそも公開されないのだから、ミスの起こりようがない
ど素人の証拠 >>1
業者と市の職員の個人情報を一年半、閲覧できるようにしろよ糞が 今佐賀市のページで確認したら
添付画像を入れて確認画面に遷移すると、添付画像は確認ページに表示されません、的な注意書きが出てきた。
想像だが、ここはもともと画像が表示されていたんだろう。
で、今回の問題を受けて画像保存先は移動してしまい、確認画面から取り払ったかな。
トークン発行とかさっさと実装しにくいのでこの対応でも十分。
(もともと確認画面に画像があったというのは想像にすぎないけど。) >>9
マイナンバーを入力したら個人情報が閲覧できるサイトを誰かが作ってくれればね >>265
法人番号はもともと公開されてるんだから当たり前だよ。 >>266
マイナンバーを知られたら大変な事になるはずなのに、法人のマイナンバーは検索できるってヤバくね? >>1
むしろひどいのは安倍菅政権だろ
マイナンバー情報は絶対に情報が漏れないって断言してたんだから >>267
何もヤバくないが、具体的に何を想定してるんですか? >>269
それが俺にも分からないんだよ
ただ、マイナンバーがバレるとヤバい事になると騒ぐ人がいるので、それが本当なら企業はヤバいよね >>263
流出したメアドやパスワードが悪用されてないか
調べられるサービス(Firefox Monitorとか)やセキュリティアプリ(iPhoneなんかはOS標準機能になった)があるが
あれはダークウェブとかに流れたデータベースをそのまま使ってる >>274
マイナンバーってのは国民1人1人に対するユニークIDなのだから
一度何かの拍子にそのIDがプライベートなデータと紐付けられたら
IDだけでそのプライベートなデータを見てるのと変わらないって事になるわな
例えば5chにはIPアドレス公開スレがたくさんあるが
そのIPアドレスが固定(もしくは可変でも実質的に固定)なら
IPアドレスからそいつの過去の書き込みとか全部辿れたりするw
で、俺なんかはECサイトの管理をしてたりするから、
IPアドレスとECサイトに登録された個人情報とが紐づく
そうすると
こいつ○○に住んでてオナホ買ってるわw
なんて話になる
もちろん俺はそんな事はやらないけどね(リスクに対してメリットがなさ過ぎるから)
最近ウェブ上のトラッキング行為を規制する動きが強いのは、こういうのが理由 >>277
なにかの民間サービスを受けるためにマイナンバーで登録をしていたら、検索される可能性がある
どこぞのレンタルビデオのアルバイトが、芸能人の情報を漏らしたみたいな
つまるところ、本名を知られた程度の話な
ちなみに行政の情報にアクセスするには、マイナンバーカードが必要なので無理 でもまあ順法意識のない人が個人情報を漏らすことは、マイナンバーがあろうがなからが起こりうるのだから
心配なら、罰則を強化するしかないんじゃないの >>278
民間サービスではマイナンバーを使えないぞ。
税とか社会保障とか限られた分野で使うわけなので、勝手に会員サービスで紐付けたら違法だ。
違法でもやるやつがいるといえばそりゃそうだろうが、
それなら合法的に収集されてる免許証番号の方がむしろ危険だ。 >>274
騒ぐやつはいるかもしれんが、それは分かってないのでは?
法人番号なんて公開前提の情報だ。会社名を書いてるのと大して変わらない。 >>1
だから公務員は馬鹿だっていうんだよ
業者に頼まないとできんのか >>285
こういうのを役所が自力でやる意味はないだろ。
コストがかさむし品質も下がる。 >>46
森羅万象すべての事柄のチェックはできないよ。 ITリテラシーのある人がどんなにセキュリティを強調したって
実際に運用する連中はこんなだから意味ないんだよw
役場の馬鹿公務員に任せられるかって話なんだよ ほら絶対漏れるんだよ
バカが管理しているから
漏れたらもうどうしようもない知れ渡った後だし 馬鹿公務員は自分たちのことだけは都合よく性善説で考えようとするからね〜
実際はクズぞろいでどんなふうに悪用されるか知れたもんじゃないんだよ
ITバカはそこが分かってない マイナンバー制度最大のセキュリティリスクは運用者たる公務員なのだ! マイナンバー漏らすのは公務員なのに罰則がない 民間人は重罪 おかしい 業者のせいにしてるけど、市の個人情報に対する鈍感さが一番の原因。 個人情報も資産もばらす行政怖い 民間なら罰だけですまない事だよ >>265
こういうのって、誰が何のために利用するの?
なんか気持ち悪い 佐賀市は韓国にシステム開発させて安く済んだと喜んでいたが、グダグダになってたと思ったが、未だやってたのかw 具体的に何をする為にマイナンバーカード、運転免許証、源泉の
画像を送くらせたんだろう。そして、どうしてそれが他人が
閲覧できるようになるんか、わからん
誰の責任なんだろう マイナンバーカードってばれたらやばいんじゃなかったのかwwwwwwwww こんなんじゃ個人情報を行政に出せるもんじゃないな。
行政の信用を著しく失墜させた関係者を処罰しろよ。 こんなことやらかしても
再発防止だけだろ
そりゃ誰もマイナンバーカードなんか
作らんわ ネット創世記から、FTPでweb接続するとPWなんて123456で通ってしまい、ざるみたいに丸見えになるサイトはよくある。
リンクなしで隠してるバカ画像もたっぷりバックアップのつもりか?いっぱいあるよなw >>275
chromeでこのパスワードは漏洩してますみたいなのでたりするけどそんな感じのでみるのかなるほどね もうこんなセキュリティが杜撰で
経費ばっかりかかるマンナンバーカード
やめてしまえよ 何でこんなことが起こるんだ
普通、二重三重にチェックするだろ これ絶対そのうちどこかが大規模漏洩やらかすよなあ
中国委託も大概だし厳罰化しないと緩んでどかんといくわ >1年半閲覧できる状態
1年半もさらしものになってた
かわいそうに >>194
現行糞エルガ萎え
ヲタ向けならV8エルガに施工しろよ Salesforceの案件とは全く違うみたいだな
アクセス権限の問題か IPAとかでガイドライン作ってそれに則ってない仕様では発注できないようにしよう
せめて行政機関くらいは 公務員に
シャイニングウィザードぶち込みたい(´・ω・) こういうので、お漏らしされた場合マイナンバー変えてくれるのかな >>328
名前漏らされたら名前変えるか?変えないだろ、同じ事だよ 佐賀だもの大して困らないだろ
イカ不漁だと凄く困るけど こんなん無理やろ
誰が入るねん
個人情報ダダ漏れやん >>2
佐賀は極左テロリスト集団立憲民主党のグーグルアース原口一博の地元
自民政権を攻撃するためには何でもやる >>325
全部ソレに従った上で、
業者がロックをかけ忘れたテイだけどな >>1
中国は数百万人分のマイナンバー情報把握してるし
役所も公開しちゃったし、もう保険証や免許証との
リンクは危険すぎる。 業者が忘れたんじゃない。
役人が指示し忘れたか、確認し忘れたか、業務に怠慢があったかが原因。 >>5
日本の行政機関の場合見つけて通報したら逆に訴えられかねない
前にそんなケースなかったっけ これを理由に保険証との合体を永遠に拒否するから
強要するなよ 長崎ちゃんぽんのカップ麺だが
チンポ
にしか見えない >>1
わざとだろ
あまりに酷い
業者の責任にして有耶無耶にすんなよ
担当は責任とって懲戒免職しろ ちなみにこれは何次請けの失態なんですかね
何次請け禁止が法整備されない限り絶対作らない >>1
謝罪だけで済んでしまう
公務員って気楽だよね
民間なら賠償責任発生するし
会社クビになるのに 天下りが入った会社が中抜きします案件の為に個人情報晒すのやだよ なんでオンラインのシステムに個人情報を載せるのか、これが全くわからない。 この機会にマイナンバーカードを作りませんか?
って封書が届いてたけど
こういう事が起こるのが怖いから
作らないんだよな >>356
それは後付けだな、免許証も漏れているし 俺は今までに散々免許証のコピーを要求されて渡してきたからマイナンバーカードを作る事に抵抗はなかったね
マイナンバー自体が漏れるのはどうでもいいがそれ以外の個人情報が漏れるのは勘弁して欲しいね 免許証番号の方が法規制もなく堂々といろんな情報に結び付けられてるからな。信用情報とか。
免許証番号は渡すがマイナンバーは怖いって人はよく理解できない。
自分の場合は、身分証明書を求められたらマイナンバーカードを渡すよ。
裏面コピーやマイナンバー書き留めは禁止だし。
免許証番号を渡すのにそんなに抵抗あるわけでもないけど、マイナンバーカードの方が使いやすいという程度。 ここだけじゃないよな?今頃他の地域も慌てて確認
してるようならまだマシなんだろうけど >>361
税金で66人に補償金でも渡して、それとは別に業者を訴えればいいね やはりマイナンバーはやらなくて正解w
絶対にやらかすの分かってるからw >>367
必要ないよ、名前がバレたら改名するかというとしないのと同じ マイナンバーってのは、国の様々なサービスを受けるためのユーザー名だからね、バレても特にこれといった問題はない
個人情報で1番漏洩しても問題が起きないのがマイナンバー 中国への流出もうやむやにしたけど
あれどうなったんだよ? https使ったノーガード戦法じゃない?IT土方がやるやつ
外部にバレたら間違ってUPしただの鍵かけ忘れただの、しまいには不正アクセスだのと 国民総背番号カードってバレてもかえてやらねえといってたけど
バレた人はカゲで囚人みたいに番号でよばれてるんだろうか ほら見ろ
ズブズブの管理する所が必ず出てくる
怖くて一元にまとめるなんてできない >>360
普通、個人情報を含むデータは公開ディレクトリには保管しない
IT企業に属してたら、技術屋じゃない経理のおばちゃんでもその程度は知ってるってくらい
基本のキで当たり前で当然の大前提の話
素人がうっかり公開エリアにアップしたとかの方がまだ有り得る話で、
公開ディレクトリに保管してアクセス権限で制御する設計ってのがありえない
何がどうなってそんなくそ設計になってるのか知りたいレベル >>1
マイナンバーの運転免許証や、健康保険証との連携
即刻中止してもらいたい。 【paypayで不正チャージ被害】ソフトバンク顧客情報6000件余 不正持ち出しの疑い 男を逮捕 [香味焙煎★]
https://asahi.5ch.net/test/read.cgi/newsplus/1614800129/ ウケるわw
テストもせずに帰宅したのかな?w
安い金で受注するからwwwww >>1
業者ガー
佐賀県人は無能なので、
出身者の関与した大学はすべて潰そう >>33
市は管理できる能力がないから外注に保守運用と開発を依頼
元請けは技術者がいないから下請けに投げる
下請けも技術者がいないから二次請けに投げる
二次請けも技術者がいないから三次請けに投げる
三次請けも技術者がいないから四次請けにできる技術者がいないか確認
四次請けは技術者を探すためSierと呼ばれるIT企業に連絡して技術者をかき集める(ここは手配師とも呼ばれている)
連絡がきた末端Sierは自社の技術者を客先常駐という名の偽装派遣で現場に送り込む
日本のシステム開発や保守運用はだいたいこんな感じで行われてるよ 知られてない県のはずなのに何気に多い佐賀のニュー速+スレ(;・∀・) いやいやいやいやいや
>マイナンバーカードのほか、運転免許証や住民票、
>源泉徴収票などが写った画像データ、66人分です。
ってあのさあ、てかそういう市民から提供のあった個人情報を
役所が自前のウェブサイトにageている意味is何?w
いや、普通にわからないね。お役所のやることは。
「ホームページを改修した際、業者がアクセスに制限をかけ忘れた」か
なんか知らんけど市民から送ってもらった個人情報データ、
たぶんなんかの申請かなんかしらんけどさ、それを1年半の長きにわたり
外部からフリーダムに見られるように置きっぱってなんなんすかそれwww
で、まあたこの手の事案の後始末にあるような
「情報の管理を徹底して再発防止に努めます」式の定型句的な
テヘペロなステイツメントで一件落着オールオッケーかしらんけど
全国津々浦々、お役人の市民への個人情報保護の意識はかくの如しですなあ。
いや、しかし「マイナンバーカードのほか、運転免許証や住民票、源泉徴収票」って
よりにもよってそういう画像データをおっぴろげに出しちゃうの。お役所が。
こういうことがあると、もちろん電子申請への国民の目つきは極めて悪くなるし
こんな調子じゃとても電子立国だのデジタル行政だのマイナンバーだの
そういうのへの信頼は、夢のまた夢だね。
そしてそう、マイナンバーねえ。もうやめたら? この制度。 ここにいるパソコンの大先生が想像するような話ではなくて、アップロードファイルの扱いの技術的な問題だろうね。
つまり、フォームから添付する画像などのファイルは、確認画面的な所で投稿者に見せることが多い。
その際に乱数ファイル名を付与して特定のURLが対応するディレクトリに設置する。
そうすることで、その乱数ファイル名を受け取って確認画面では画像表示ができる。
その際にそのファイル名を第三者が当てたら見られてしまうが、実際のところほぼ起きない。
おそらくだが、この後でバッチ処理なりによってこの画像と投稿内容をメールとして役所の担当部署に送信する。
で、そのファイルは見られたら困るのだから本来は処理が済んだら早急に消すべきだし、特定のディレクトリに置いたら勝手に公開されるような仕組みを使わず、別の一時ディレクトリに設置してトークン認証を経て画像を返すような仕組みが正しい。
でも、もとからあるようなファイルアップロードの仕組みをそのまま使ったんだろう。
こういうのだとすれば検収のときにチェックとかそういうパソコンの大先生が想像できる問題ではなくて、エンジニアの一定のセキュリティ素養が必要。 ■ このスレッドは過去ログ倉庫に格納されています