Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた

insiderman 曰く、　タクシー配車サービスを提供する米Uberが、タクシードライバーの個人情報を漏洩させる事件が先日発生したが、これら個人情報が格納されているデータベースに接続するための情報が、誤ってGitHub上で公開されていたという話が出ている。

　Ars Technicaによると、GitHubのリポジトリではなく、テキストやメモ、コードスニペットなどの公開に使われる機能「gist」上で、認証不要でドライバーの名前や運転免許証番号にアクセスできるセキュリティキーが公開されていたという。Uberによると、「Uberの関係者以外はこのファイルにアクセスできる権限はない」と述べているそうだが、2014年2月にUber従業員とは関係ないIPアドレスから、関係ないユーザーがこのファイルをダウンロードしていたことが明らかになったという。

　ちなみに、gistにはアクセス制限機能はなく、「非公開」に設定してもそのURLが一覧ページに表示されず、直接URLを入力すればその内容にアクセスできる。そこらへんの罠にはまってしまったような気もする。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
500万個のSSH公開鍵を解析する実験 2015年01月27日
GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 2014年03月26日
GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 2013年01月26日