1 田杉山脈 ★ :2022/10/07(金) 21:30:51.24ID:CAP_USER
トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。
(出典 itenginner-matome.net)
2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。
原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。
トヨタは9月15日にGitHub上のソースコードの一部を確認し、同日中に非公開化。17日にはデータサーバのアクセスキーを変更している。
トヨタは「ソースコードの不適切な取り扱いが原因。改めて委託先企業と共に個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取り組みを進める」と説明している。
該当するユーザーに対してはメールアドレスを悪用した“なりすまし”やフィッシング詐欺など、迷惑メールが届く可能性が考えられるとして不審なメールを受信した場合は開封せず、消去することを求めている。「契約内容の確認」「パスワードの変更」等の名目で偽サイトへ誘導する手口も考えられるという。
(出典 itenginner-matome.net)
2 名刺は切らしておりまして :2022/10/07(金) 21:34:36.64ID:1u+/kobP
なんで本番DBのキーがコミットされてるの...
76 名刺は切らしておりまして :2022/10/08(土) 08:51:06.56ID:K6TuR1rq
>>2
セキュリティー事故なんて
考えられないようなことが発端だよ。
だからマイナカードでも、どんなおかしな理由で漏洩しても驚かない。
セキュリティー事故なんて
考えられないようなことが発端だよ。
だからマイナカードでも、どんなおかしな理由で漏洩しても驚かない。
3 名刺は切らしておりまして :2022/10/07(金) 21:45:49.48ID:R3TE/0LS
トヨタは最近ほんまに良いとこ無しだな
6 名刺は切らしておりまして :2022/10/07(金) 22:49:34.45ID:psBbVmzn
外部のGit使うとかバカじゃないの?
10 名刺は切らしておりまして :2022/10/07(金) 23:49:38.20ID:jJFzdo6G
>>6
コストダウンだろうな。愚直に物作りしないからこういう顛末になる。
コストダウンだろうな。愚直に物作りしないからこういう顛末になる。
79 名刺は切らしておりまして :2022/10/08(土) 10:30:26.42ID:w0Np782r
>>10
外部委託企業が勝手にGitHubを使っただけだろ
記事も読まないお前みたいなやつがやら*んだよ
外部委託企業が勝手にGitHubを使っただけだろ
記事も読まないお前みたいなやつがやら*んだよ
80 名刺は切らしておりまして :2022/10/08(土) 11:17:24.03ID:OOE0HS0A
>>79
委託先がどこであろうと責任の所在はトヨタ
委託先がどこであろうと責任の所在はトヨタ
84 名刺は切らしておりまして :2022/10/08(土) 11:46:22.33ID:4lTI7NxV
>>80
誰も責任の話なんかしてねーよ
GitHubを使う理由にコストダウンを挙げてるからトヨタはGitHub使ってねーって言ってんだよ
お前も文章をよく読まないタイプだろ
誰も責任の話なんかしてねーよ
GitHubを使う理由にコストダウンを挙げてるからトヨタはGitHub使ってねーって言ってんだよ
お前も文章をよく読まないタイプだろ
82 名刺は切らしておりまして :2022/10/08(土) 11:23:00.91ID:vp8dpt0s
>>79
それは田舎者の言い訳。セキュリティがまともな大企業はそういう企業と契約しないことに命かけてる。
それは田舎者の言い訳。セキュリティがまともな大企業はそういう企業と契約しないことに命かけてる。
85 名刺は切らしておりまして :2022/10/08(土) 11:50:07.04ID:4lTI7NxV
>>82
今どき GitHub で流出してない大企業の方が珍しいだろ
つまりお前の理屈だと「まともな大企業」なん一握りしかない
今どき GitHub で流出してない大企業の方が珍しいだろ
つまりお前の理屈だと「まともな大企業」なん一握りしかない
86 名刺は切らしておりまして :2022/10/08(土) 12:46:55.98ID:K6TuR1rq
>>85
たしかにGoogleやマイクロソフトも
使ってるようだからなあ
たしかにGoogleやマイクロソフトも
使ってるようだからなあ
88 名刺は切らしておりまして :2022/10/08(土) 13:39:31.98ID:sqpC2IdU
>>6
ね。外部からの攻撃とかじゃ無くて、勝手に晒しただけでしょ
ね。外部からの攻撃とかじゃ無くて、勝手に晒しただけでしょ
8 名刺は切らしておりまして :2022/10/07(金) 23:11:42.77ID:WHk7HXWj
DBサーバに外部から直接アクセスできるのか
71 名刺は切らしておりまして :2022/10/08(土) 06:02:23.56ID:d4iAa1Yq
>>8
セキュリティ専門家による調査の結果、お客様のメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況となっております。
って書いてあってちょっとよく分からんね
https://company.toyotaconnected.co.jp/news/press/2022/1007/
セキュリティ専門家による調査の結果、お客様のメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況となっております。
って書いてあってちょっとよく分からんね
https://company.toyotaconnected.co.jp/news/press/2022/1007/
9 名刺は切らしておりまして :2022/10/07(金) 23:31:19.76ID:XMYuSpDZ
だーかーらGitHubってのはもともとオープンソースコミュニティのためのサービスなんだって
デフォで公開当たり前なんだよ
なんで浅はかにGitHub使うんだよ*
大人しくcodecommit使っとけよ*
デフォで公開当たり前なんだよ
なんで浅はかにGitHub使うんだよ*
大人しくcodecommit使っとけよ*
75 名刺は切らしておりまして :2022/10/08(土) 08:21:40.50ID:dORXwefS
>>9
元がそうでもプライベートリポジトリ作れるし、エンタープライズプランもある。
何知ったかしてんの?
起源にだけ拘る朝鮮人と同じだな。
使ってから語れよ。
元がそうでもプライベートリポジトリ作れるし、エンタープライズプランもある。
何知ったかしてんの?
起源にだけ拘る朝鮮人と同じだな。
使ってから語れよ。
77 名刺は切らしておりまして :2022/10/08(土) 08:54:05.28ID:K6TuR1rq
>>75
だから、つくらなかったんだろ。
作れることと安全なことは違う。
だから、つくらなかったんだろ。
作れることと安全なことは違う。
12 名刺は切らしておりまして :2022/10/08(土) 01:00:54.18ID:Hkv60nxK
トヨタはソフトウェア技術が無さすぎる。ハッキリ言ってEVは無理
14 名刺は切らしておりまして :2022/10/08(土) 03:31:38.45ID:HzXWZZQ3
今後ネット炎上でまともに対応する必要があるのか?
19 名刺は切らしておりまして :2022/10/08(土) 03:48:40.40ID:HzXWZZQ3
極めてなにかわかるのは理解してるだけだし
25 名刺は切らしておりまして :2022/10/08(土) 04:01:46.96ID:HzXWZZQ3
これ不快感の問題だろ
81 名刺は切らしておりまして :2022/10/08(土) 11:22:14.48ID:SxSunSUr
これまで個人情報が漏れたことで、個人がメチャクチャ被害被った例ってどんなのがあるの?
98 名刺は切らしておりまして :2022/10/08(土) 16:10:02.78ID:6S8b9VXV
>>81
今はマイナンバーカードや健康保険証もスマホだからな、電子マネーや銀行通帳はおろか
今はマイナンバーカードや健康保険証もスマホだからな、電子マネーや銀行通帳はおろか
87 名刺は切らしておりまして :2022/10/08(土) 12:56:56.65ID:sEb50Zbh
おいおい、トヨタ、しっかりしろよ
最近何かとろくでもない感じだな
最近何かとろくでもない感じだな
90 名刺は切らしておりまして :2022/10/08(土) 14:14:14.57ID:2IRdtcpa
認証情報を公開してしまうケースに対する対策はなんだ?MFAぐらいか?
92 名刺は切らしておりまして :2022/10/08(土) 14:47:35.42ID:d4iAa1Yq
>>90
無能な働き者を排除
無能な働き者を排除
93 名刺は切らしておりまして :2022/10/08(土) 15:41:42.31ID:2IRdtcpa
>>92
これ系は人のせいにしているようでは解決しないよ
これ系は人のせいにしているようでは解決しないよ
94 名刺は切らしておりまして :2022/10/08(土) 15:53:42.49ID:d4iAa1Yq
>>93
まあ92は半分冗談だけどそうは言っても悪意を持って漏洩する奴に対処する方法はないだろ
やれる方法があると言うことは悪意がなくても偶然が重なったら漏洩するわけでその可能性を下げることしかできないよ
まあ92は半分冗談だけどそうは言っても悪意を持って漏洩する奴に対処する方法はないだろ
やれる方法があると言うことは悪意がなくても偶然が重なったら漏洩するわけでその可能性を下げることしかできないよ
99 名刺は切らしておりまして :2022/10/08(土) 16:17:43.45ID:vuGgiGGw
>>94
悪意への対処は2人以上がOKしないと本番のデータは見れないとかかな
可能性を0にできるかどうかは話していなくて、(無能な)人がミスする前提の仕組みを作らないといけないという話よ
悪意への対処は2人以上がOKしないと本番のデータは見れないとかかな
可能性を0にできるかどうかは話していなくて、(無能な)人がミスする前提の仕組みを作らないといけないという話よ
95 名刺は切らしておりまして :2022/10/08(土) 15:57:07.23ID:UY9x5DsP
これたぶん、社内ではセキュリティが高すぎて試験すら出来ないから
社外で開発したものをオープンソースとして流量するってタイプの開発手順だと思われる
トヨタは今回gitをアクセス制限してるけど、コードの権利はトヨタにないので、権利を盗んでることにならないかな
社外で開発したものをオープンソースとして流量するってタイプの開発手順だと思われる
トヨタは今回gitをアクセス制限してるけど、コードの権利はトヨタにないので、権利を盗んでることにならないかな
97 名刺は切らしておりまして :2022/10/08(土) 16:07:25.31ID:d4iAa1Yq
>>95
> トヨタは今回gitをアクセス制限してるけど、コードの権利はトヨタにないので、権利を盗んでることにならないかな
今回の件は知らんけどソースコードの版権は発注元に帰属するって言う契約は珍しくないぞ、と言うかたいていそうじゃないのか?
そうでないとその会社にしか保守頼めなくなるし
> トヨタは今回gitをアクセス制限してるけど、コードの権利はトヨタにないので、権利を盗んでることにならないかな
今回の件は知らんけどソースコードの版権は発注元に帰属するって言う契約は珍しくないぞ、と言うかたいていそうじゃないのか?
そうでないとその会社にしか保守頼めなくなるし
100 名刺は切らしておりまして :2022/10/08(土) 16:24:52.32ID:IkObL+pB
5年間放置ってやばいなトヨタ
コメントする