Uberの情報漏洩、原因はセキュリティキーの杜撰な管理

Uberの情報漏洩、原因はセキュリティキーの杜撰な管理 1

先日発覚した、Uberデータベースへ第3者が不正アクセスした事件登録ドライバー5万人の名前と免許証番号がリークしたと言われています。が、ネタ元のArs Technicaが続報として、今回のリークはそもそもUberの管理体制に問題があったと報道しています。

Uber最大のミスは、セキュリティ面の管理不行き届き。どうやら、Uberはデータベースのセキュリティキーを、GitHubページに保管していたようなのです。GitHubはホスティングサービスですが、もちろんUber内部のものではなく、誰でも利用できるもの。Uberとしては、特定のスタッフだけが利用できるようにというつもりだったようですが、甘かった。甘すぎた。昨年5月の不正アクセス後にキーを変更し、GitHubページの該当ページを削除していたようです。これに対してArs Technicaは、玄関マットの下に家の鍵を隠しておくレベルだと痛烈に批判。

これはArs Technicaの取材でわかった報道であり、Uberが認めたわけではありません。もし本当ならば、例えばGitHubに召喚令状を出し、不正アクセスがあったとされる時期に該当GitHubページにアクセスした人のIPアドレスを提出してもらうなんてこともできるでしょう(協力要請済みで、GitHubはこれを拒否という報道もあり)。

しかし一方で、たとえ情報提出してもらっても、何か有益な情報が出てくることは少ないという意見もあります。昨年に不正アクセスがあったのに、Uberは何ヶ月も何してたんだという問題の方が大きくて…。

今回の報道が事実ならば、Uberにとってはより大きな不祥事となり、フラフラ状態。車酔いどころじゃすみませんね。

source: Ars TechnicaThe Register

Kelsey Campbell-Dollaghan - Gizmodo US[原文

(そうこ)