関連記事
Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた
記事提供元:スラド
insiderman 曰く、 タクシー配車サービスを提供する米Uberが、タクシードライバーの個人情報を漏洩させる事件が先日発生したが、これら個人情報が格納されているデータベースに接続するための情報が、誤ってGitHub上で公開されていたという話が出ている。
Ars Technicaによると、GitHubのリポジトリではなく、テキストやメモ、コードスニペットなどの公開に使われる機能「gist」上で、認証不要でドライバーの名前や運転免許証番号にアクセスできるセキュリティキーが公開されていたという。Uberによると、「Uberの関係者以外はこのファイルにアクセスできる権限はない」と述べているそうだが、2014年2月にUber従業員とは関係ないIPアドレスから、関係ないユーザーがこのファイルをダウンロードしていたことが明らかになったという。
ちなみに、gistにはアクセス制限機能はなく、「非公開」に設定してもそのURLが一覧ページに表示されず、直接URLを入力すればその内容にアクセスできる。そこらへんの罠にはまってしまったような気もする。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
500万個のSSH公開鍵を解析する実験 2015年01月27日
GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 2014年03月26日
GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 2013年01月26日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク