トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
https://www.itmedia.co.jp/news/articles/2210/07/news178.html
2022年10月07日 16時52分 公開 [ITmedia]
トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
(略)
※省略していますので全文はソース元を参照して下さい。 既得権益プロパガンダ大衆洗脳、朝鮮メディア・マスゴミ
テレビ電波オークション はよせえ
カルト自民党統一教会、公明党創価学会
特別定額給付金 はよせえ 前に使ってたアドレスにもお知らせメール来るの?
今は使ってないアドレスに通知が来たんだよな… SQLiteでも使ったか?
セルフユースじゃねぇんだからよ、セキュア感覚無い奴にはアプリ開発させるなよ。 トヨタさんさぁ
日野自動車隠しですか?
いまNHKでやっていたぞ なんでソースじゃなくてデータがプッシュされてんのよ >>10
ちなみにどうしてSQLiteだと思ったんですか? 俺の知り合いの知り合いかも
トヨタのITは日の丸親方だからねえ 底辺seを使うとこうなる
前に銀行でもこんな事件あったな 大島栄城だが、大学生時代に安いアサンテのハブ買わなきゃよかったわ
まだハブとか言ってるのか なんだ。 パブリッシュにしていたという事か。 いわゆるオープンソースだな。
本人もOSSのつもりだったんじゃないの?
無能の管理職ばかりの職場はこれだから・・・ >>3
企業用のプライベート設定できるから使ってるところ多いよ。
ただ、画像ファイルとかURLを知って居れば見れてしまうとか落とし穴がある ソースコードに機密情報直接入れちゃいけないのも知らない男の人って・・・
てかデータベースはインターネットから直接アクセス出来たの?
踏み台サーバー経由からアクセスとかではなく? >>13
売り手市場だからかイキってるアホなエンジニアが増えてるよな >>17
小学生が使ってみたかった言葉なんだろう、言わせんな恥ずかしい 俺のも漏洩してるんだろな
変なとこからメールが来るようになったから >>26
それじゃ全然プライベートではないが馬鹿なのか ソース管理は下請けの下請けの下請けが作業するとしてもイントラネットに置いた専用サーバーで一元管理すべき Git Cloneした奴も一杯いるんじゃね?
ブランチで使うほど値打ちの無いソースなんだろうが、覗いていたらDBセキュリティー情報がconst定義されていたという・・・ ユーザーサイトのコードってことは、ポンコツな外注先がSQLiteのデータベースファイルか、定時バックアップのアーカイブか、テスト用のフィクスチャを本番データで作ってそのままリポジトリに乗っけてたってことなのかねぇ
社内限定だったらGithubなんて使わないわな 半年前にトヨタ車買ったんやがわいのアドレスも漏れとんのか 漏洩っていうより
個人情報として認識すらされてなかったようで
低レベルのセキュリティ知識を持った技術者すら
トヨタにはいなさそうだな。
登録セキスペの人達は罰則を喰らうんやろか >>1続き
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。 やっぽりギフハブはあったんだ!
飛鳥さんは嘘なんかついてない! どこに委託してたの?
こんな杜撰な管理するようなところは潰さないと
>原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。 オンプレで運用したエンタープライズのGitHubと.comを勘違いしてプッシュしたやつは見たことがある。
Bitbucketも似たのあるから誤解を生じやすい。 俺のところにお詫びのメール来たぞ
昔、2ちゃん時代にメール漏洩して嫌というほど迷惑メール来たけど
まーた迷惑メール来るのかよと思ったぜ トヨタくらいはこういうこと起こさないと信じていたよ
まあ下請けがダメな会社だったんだろうけど このリストを犯罪者のターゲットにされるのでは
車買いたがる家庭なので金持ってるとわかっちゃうよな ロシアのハッカー「俺たちが攻撃して入手したんだ。本当だよ、本当だってば」 内容読むとデータを上げてたんじゃなくてそのデータ(DBかな)にアクセスできるキーが乗ってた感じか?
そもそも外から見られるのは論外だが外に公開してないgitとかなら普通に上げてるのも多そうな気がする ちょっとトヨタのネット関係のことなんて
ちょっとちょっとシステムに詳しいですぐらいの
おじさんが他いないからてやらされてるだけだろ >>62
まあ、RDBMSのIP, user id, passがハードコードされていたか設定ファイルに書かれたものがアップされてたんだろうね
でも、ご指摘の通りそれだけなら普通はでーびーに入れないよ
でーびーも外部からアクセスできたってことだからしゃれにならんね >>63
それな〜
タダでバグ取りして欲しかったのか意識高い系か知らんけど >>3
素人のオイラがギフハフのソースコードをパクって改変して個人の趣味用オリジナルアプリにしてるがトヨタも同じことやってるの? Githubは悪くない。プライベートリポジトリを使っていれば問題ない
なんでオープンリポジトリで公開してんだって話
誤って?誤ってそんなことする?故意以外にあるか? >>69
残念ながら日本のITレベルはその程度
怒るばっかりで育てないし金も落とさない上場企業が悪い 日本企業だしな、これでも自動運転でグーグルと戦うつもり
現実は、運転の楽しさをトップ自らアピール、時代について行く気があるかも怪しい
もちろん、トヨタは企業価値が世界比で落ちてる
今、時価総額は世界で30位くらいだろ、30年前は1桁にいたからな
他にトヨタの上を行く企業も育ってないから、トヨタだけを責めても始まらないが
そもそも、日本人は、Line、
アドレス帳の知り合いの電話番号をラインの会社に勝手に送ってユーザか確かめる機能
あれを受け入れて使ってきた程度には個人情報の管理なんかいい加減
トヨタはそんな国の代表格の企業、こんなもんと言えばそこまでだろ 糞仕様で使いにくいのにパスワード漏洩とか終わってる、全く不要なコネクテッド だからトヨタカードアプリ意図的に使えなくしてんのか
不具合というなの隠ぺいしてて草 >>77
上司が気にいるかどうかで仕様決まるから仕方ないね >>70
日本の、とか言うなw
製造業は30年くらい前から斜陽化で良い人材が集まり難くなった上に、ハード屋さんの中のソフト屋さんなんて立場低いんだから尚更IT人材なんて集まらない。 ■ このスレッドは過去ログ倉庫に格納されています