東京ガス運営の「ふろ恋私だけの入浴執事」で不正アクセス、約1万人分のメールアドレスが流出

2021年2月1日 14:35

東京ガスの運営する恋愛ゲーム「ふろ恋私だけの入浴執事」で、ウェブ会員1万365件分のメールアドレスとニックネームが流出していたことが判明したという。同社リリースによれば、1月28日にウェブ版アプリ内で海外アダルトサイトに誘導するリンクがあったことが判明。不正アクセスが疑われることから調査をしたところ、29日の夜に不正アクセスが確認されたとしている。対応としてウェブ版アプリの運用を停止したとしている。原因等は調査中だとしている（東京ガス、公式Twitter、東京新聞）。

なお「ふろ恋私だけの入浴執事」は

入浴執事「フロピスト」の男性達と交流することで癒やされる、“頑張るあなたへ贈るおかえり入浴アプリ”です。

だそうです（4Gamer）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年1月29日 18:33

年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される

スラド

著者: nagazou

2021年1月29日 18:33

あるAnonymous Coward 曰く、

近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている（Togetter、経緯のまとめっぽいツイート）。

発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。

アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。

情報元へのリンク

日経クロステックによれば、この件を受けて三井住友銀行（SMBC）は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様（日経クロステック、ITmedia）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
埼玉県、新型コロナ感染者の個人情報を誤って公開。5時間以上もの間 2021年1月27日 07:01

埼玉県、新型コロナ感染者の個人情報を誤って公開。5時間以上もの間

スラド

著者: nagazou

2021年1月27日 07:01

あるAnonymous Coward 曰く、

埼玉県の新型コロナウイルス新規感染者情報ページで、一部の患者の氏名や検査機関と思われる個人情報が公開されてしまっていたらしい。公開されていた期間は25日午後5時から同10時半ごろまでの5時間半程であるようだ。(埼玉新聞、NHK、テレ朝NEWS)。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
2018年のコインチェック事件で、盗まれたNEMのマネーロンダリングに関与したと見られる31人を検挙 2021年1月26日 06:03

2018年のコインチェック事件で、盗まれたNEMのマネーロンダリングに関与したと見られる31人を検挙

スラド

著者: nagazou

2021年1月26日 06:03

あるAnonymous Coward 曰く、

2018年1月に発生した仮想通貨取引所のコインチェックから不正アクセスで約580億円相当のNEMが盗まれた事件で、警視庁は盗まれたNEMと知りながら別の仮想通貨との交換に応じたとして、31人を組織犯罪処罰法違反の疑いで検挙した（NHK、日経新聞）。

盗まれたNEMは最終的に全額が換金されてしまったとみられるが、今回検挙された人々はそのうち計190億円分のマネーロンダリングに応じたとみられている。一方で、NEMを盗んだ犯人は未だ特定に至っていない。

情報元へのリンク

ソフトバンク元社員、楽天モバイル転職時に機密情報を持ち出したとして逮捕。楽天は情報利用を否定

スラド

著者: nagazou

2021年1月15日 13:34

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

スラド
AirPods Max、数時間の使用でイヤーカップ内が結露すると話題に 2021年1月10日 19:18

AirPods Max、数時間の使用でイヤーカップ内が結露すると話題に

スラド

著者: headless

2021年1月10日 19:18

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。

スラド
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年1月8日 14:05

日産の社内ツールやソースコードがサーバーの設定ミスで流出

スラド

著者: nagazou

2021年1月8日 14:05

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様（ZDNet、GIGAZINE）。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

Nissan NA Mobile apps（日産NAモバイルアプリ）
some parts of the Nissan ASIST diagnostics tool（日産アシスト診断ツールの一部）
the Dealer Business Systems / Dealer Portal（ディーラービジネスシステム・ディーラーポータル）
Nissan internal core mobile library（日産の内部コアモバイルライブラリ）
Nissan/Infiniti NCAR/ICAR services（日産インフィニティのNCAR/ICARサービス）
client acquisition and retention tools（顧客獲得と保持のためのツール）
sale / market research tools + data（営業とマーケティング調査のツールとデータ）
various marketing tools（さまざまなマーケティングツール）
the vehicle logistics portal（車両ロジスティクスポータル）
vehicle connected services / Nissan connect things（自動車の接続サービス関連）
and various other backends and internal tools（その他のバックエンドと内部ツール）

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年1月7日 18:04

福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も

スラド

著者: nagazou

2021年1月7日 18:04

あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという（TBS NEWS）。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、（おそらくは男性からの情報提供を受けた）JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか？どうして共有URLを知っていたのか？なぜ無関係の男性に文書を送ったのか？なぜ県は1ヶ月も放置したのか？など、謎が尽きない。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失 2020年12月10日 07:03

オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失

スラド

著者: nagazou

2020年12月10日 07:03

あるAnonymous Coward 曰く、

サーバーまるごと紛失するというトラブルがあったそうだ。サーバーを紛失したのはオリックス系の旅館・ホテル運用会社オリックス・ホテルマネジメント。同社の運用している「ハンドレッドステイ東京新宿」において施設を予約もしくは利用したユーザーの情報を記録したサーバーが紛失したことが判明したとしている。これにより、約209,000件の情報が流出した可能性があるとのこと（オリックス・ホテルマネジメント[PDF]）。

このサーバーは2018年に新システムに移行したときに保管してあった古いサーバーであったようだ。12月2日に社有資産の棚卸しをしていたところ、該当するサーバーが見つからなかったことから発覚した。外部に持ち出された可能性もあるとしている。

流失した可能性のある個人情報は以下の通り。クレジットカードやパスポート情報は含まれていないとのこと。
件数：約 209,000 件（内、氏名のみの情報約 102,000 件）
対象期間：2010 年 7 月 14 日～2018 年 2 月 2 日のご予約およびご利用情報
記録情報：氏名、住所、電話番号、FAX 番号、メールアドレス、性別、生年月日等

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
セキュリティ企業のFireEye、サイバー攻撃により診断ツールか盗まれる。国家による犯行と指摘 2020年12月9日 16:07

セキュリティ企業のFireEye、サイバー攻撃により診断ツールか盗まれる。国家による犯行と指摘

スラド

著者: nagazou

2020年12月9日 16:07

サイバーセキュリティ企業のFireEyeが8日、サイバー攻撃により同社の所有する攻撃診断ツール「Red Team」が盗まれたと発表した（FireEye、ITmedia）。

このツールは、多くのサイバー攻撃役を模倣し、その攻撃パターンを再現する機能を持つようだ。これまでFireEyeは、このツールを使用して診断セキュリティサービスを提供してきたとしている。同社は今回の攻撃は、過去の経験から国家による攻撃だと断言した。過去に目撃したことのない新しい技術の組み合わせを使用して攻撃を行ってきたとしている。なお、同社はGitHub上で、このツールを使った攻撃への対策をするためのツールを公開したとのこと。

スラド
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月8日 12:00

PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性

スラド

著者: nagazou

2020年12月8日 12:00

決済サービス「PayPay」は12月7日、ブラジルから不正アクセスを受けて加盟店の関連情報2007万6016件が流出した可能性があると発表した。不正アクセスがあったのは11月28日だという（PayPay）。

加盟店情報のみで一般ユーザーの情報に関しては別のサーバーであったことから流出していないとしている。不正アクセスに至った原因については、アクセス権限の設定で、2020年10月18日～12月3日の期間は不備のあった状態になっていた。外部からの連絡により判明したとしている。

同社によれば流出した可能性のある情報は以下の通り。

(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
アクセスされた可能性のある最大件数:20,076,016件

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
共通テスト「情報」試作問題はどこから漏れたのか？ 2020年12月7日 14:03

共通テスト「情報」試作問題はどこから漏れたのか？

スラド

著者: Dharma-store (posted by nagazou)

2020年12月7日 14:03

Dharma-store 曰く、

どういう所から入手してくるのか分からないのですが、大学入試センターが関係者に提示した「情報」の試作問題が報道されています（【独自】共通テスト「情報」で試作問題示す…プログラミングによる課題解決など : ニュース : 教育 : 教育・受験・就活 : 読売新聞オンライン）。
【独自】のアオリがなんとも勇ましい。
で、以下の設定のうち、動画サイズが小さい順に並べなさいというのが、設問だそうです。
1）16,777,216色(24bit) 60fps 1280× 720ピクセル
2）16,777,216色(24bit) 30fps 1920×1080ピクセル
3） 256色 30fps 3840×2160ピクセル
256で3840×2160って、どういう4K動画なんでしょうか。いっそ、白黒映画なんかは、グレースケールでこれで行くというのもアリなんですかね。
ちなみに解答は、1）＜ 2）＜ 3）ということで、やはり256は最強であるということで宜しいかと存じ上げる次第であるあるある（残響音含む）
とか書いてみたものの、「256が最強」というエビデンスが見当たらず、なんかアレを読んで、自分は２の倍数や二進法に心引かれてたような気がするのですが、もしかしたら別のナニかを見ていたのかも知れないと不安に駆られるのですが、30年近く前の記憶なので、もはや修正の仕様もなく。

すべて読む | セキュリティセクション | 情報漏洩 |

スラド
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月4日 13:02

パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件

スラド

著者: nagazou

2020年12月4日 13:02

パスワード付きZIPとパスワードを別メールで送信するPPAP廃止の動きが広まってきている。代替策として提案されるようになってきたのが、民間のストレージサービスでファイルを共有、圧縮ファイルを解凍するパスワードをメールで送信する、パスワードを電話などで口頭で伝えるという方法だ（過去記事、ITmedia）。

パスワードを電話で伝える方法は、相手がリアルタイムで電話に出なければならない、口頭で伝えられたパスワードをメモる必要がある等々面倒すぎることから、現実的ではないと思われていた。しかしTogetterのまとめによれば、実際にこの方法を採用している例も出ている模様。パスワードのアルファベットを間違いなく口頭で伝えるために

取引先「フォックスロット、タンゴ、アルファ、ナイン、ナイン。復唱お願いします」

といったフォネティックコードを使う必要があるのではという意見も出ている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日 15:32

Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出

スラド

著者: headless

2020年11月29日 15:32

Canon USAは11月25日、7月下旬から8月上旬にかけて同社のネットワークに不正アクセスがあり、従業員に関するデータが流出していたことを明らかにした(Canon USAの発表、 Softpediaの記事)。

Canon USAでは8月4日にランサムウェア攻撃を確認し、対策を行うとともに調査を進めていたそうだ。同社ネットワークでは7月20日から8月6日の間に不正な活動が確認されており、この間にファイルサーバー上のファイルへの不正なアクセスが行われていたという。ファイルサーバーの調査は11月2日に完了し、2005年～2020年にCanon USAまたは特定の子会社・前身会社・関連会社に勤務していた従業員(現・元)および、その受取人や扶養家族に関する情報を含むファイルへのアクセスが判明したとのこと。

ファイルには個人の名前および、その人の社会保障番号・運転免許証番号・政府発行の身分証明書番号・振込先金融機関の口座番号・電子署名・生年月日のうち少なくとも1つ以上のデータが含まれていたという。Canon USAでは影響を受けた人に謝罪するとともに、Experianの信用情報保護サービスIdentityWorksのメンバーシップ12か月分を無償提供すると述べている。

スラド
Spotifyでアカウントデータが流出。30～35万人規模 2020年11月26日 12:00

Spotifyでアカウントデータが流出。30～35万人規模

スラド

著者: nagazou

2020年11月26日 12:00

音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した（vpnMentor、ZDNet、Engadget、マイナビ）。

流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。

ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日 17:05

カプコン、採用応募者の情報を破棄していなかったことが判明

スラド

著者: nagazou

2020年11月20日 17:05

あるAnonymous Coward 曰く、

カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報（氏名、生年月日、住所、電話番号、メールアドレス、顔写真など）が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ（J-CASTニュース）。

話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「（説明に反して）破棄されていなかったのでは?」という指摘が出ているようだ。

カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間（期間は非公表）保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ（電子データ）で保存していること自体、破棄していない事でしかないと思う。

そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、（不採用や辞退後に）保管する必要性は見当たらない。

情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | 情報漏洩 |

スラド
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日 13:03

チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩

スラド

著者: nagazou

2020年11月20日 13:03

イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16～17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている（Peatix、CNET）。

この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている（TechCrunch）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 2020年11月16日 13:03

フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に

スラド

著者: nagazou

2020年11月16日 13:03

CitizenLabによると、フィリピンのCOVID-19の症例データ共有アプリが情報を漏えいしたと報じられている（CitizenLab、Threatpost）。

このシステムは「OVID-KAYA」プラットフォームと呼ばれており、フィリピンの最前線の医療従事者がCOVID-19感染者の症例を収集し、フィリピン保健省と共有するために使用するためのもの。ウェブアプリとAndroidアプリの両方に脆弱性が存在しており、許可されていないユーザーが感染者や潜在的な感染者の情報を閲覧できていたという。

ウェブアプリ側では認証ロジックに脆弱性が含まれていた。これにより、ヘルスセンターの名前と場所、およびアプリのサインアップ時に利用される30,000を超えるヘルスケアプロバイダーの名前が公開された可能性があるとされる。Androidアプリでは、医療提供者の名前や機密性の高い患者データにもアクセスできるハードコードされたAPI認証情報が使用されていたとのこと。

CitizenLabは8月18日にDure Technologies、フィリピン保健省、フィリピン世界保健機関（WHO）の関係者などのアプリ開発者にウェブアプリの脆弱性を開示、続いて9月14日にAndroidアプリの脆弱性を公開した。判明した欠陥は10月29日の時点で解消されているそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

スラド
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日 15:02

Mashable、ユーザーデータ流出に関する調査結果を報告

スラド

著者: nagazou

2020年11月10日 15:02

headless 曰く、

Mashableのユーザーデータベースとみられるファイルが4日、複数のハッカーフォーラムに投稿されて話題となっていた。これについてMashableが同サイトのものであることを認め、調査結果を報告している(Mashableの記事)。

Mashableによると、このデータベースはソーシャルメディアログインを利用するユーザーがMashableのコンテンツを容易に共有できるようにするため、かつて使われていたものだという。含まれるデータは姓名や大まかな場所(国名・都市名など)、電子メールアドレス、性別、登録日、IPアドレス、ソーシャルメディアのプロファイルページへのリンク、期限切れのOAuthトークン、ユーザーの誕生日(月日のみ)とのこと。

Mashableでは登録ユーザーに財務情報の入力を求めることはなく、保存することもない(ため、流出もしていない)。パスワードは流出したデータに含まれていなかったようだが、ユーザーのパスワードがアクセスされた形跡はないと説明している。

HackReadの記事によれば、データベースを投稿したのはShinyHuntersと名乗るハッカーで、データベースのサイズは5.22GBあったという。ShinyHunterは最近数か月の間にオンラインサービスなど十数件のユーザーデータベースを投稿して注目されている。

Mashableのデータベースにパスワードが含まれていなかったことはShinyHuntersも投稿時に説明していたそうだ。なお、HackReadではデータベースに含まれるアカウントの種類をスタッフ・ユーザー・サブスクライバーとしており、スクリーンショットでは mashable.comドメインの電子メールアドレスも確認できる。

スラド
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月6日 18:05

流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み)

スラド

著者: nagazou

2020年11月6日 18:05

「GitHub」のソースコードがGitHubのCEOであるNatFriedmanを名乗る人物によって公開された。もちろん偽物だ。このソースコードは削除されており、web archiveに残っていたものもアクセスできなくなっている。なお本物のNatFriedman氏は今回の経緯について、数か月前に一部の顧客宛に誤って出してしまったことがあり、それがアップされたものだとしている（Resynth、Hacker News、GIGAZINE）。

リポジトリの偽装については、もともとGitHubで課題とされていた「なりすまし」の方法が取られているという。GIGAZINEによれば、

手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

とのこと。ただ、この流出を機にGitHubをオープンソースにすべきという意見も強まっているようだ。

あるAnonymous Coward 曰く、

1100人にフォークされた模様

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

ノーマルビュー