Infostand海外ITトピックス
Uberの失敗と教訓 5700万人分の個人データ流出
2017年11月27日 11:23
GitHubにクラウドへのアクセス情報
データはどのように奪われたのだろう。詳細に報じたDark Readingによると、まずコードリポジトリのGitHubが狙われた。UberのエンジニアたちはGitHubを使って共同作業をしており、ここにインフラとして利用しているAWS(Amazon Web Services)へのログイン情報が入っていた。流出した個人データはAWSに置かれていた。
攻撃者はエンジニアの1人のプライベートのログイン情報を獲得し、それを使ってAWSに侵入し、さらなる情報を得たのだろう、とセキュリティ企業SnykのCEO、Guy Podjarny氏は予想する。
GitHubなどのサービスは、離れた場所から共同作業ができることで開発者に人気がある。セキュリティ企業ImpervaのTerry Ray氏は「オンラインコラボレーション・コーディングプラットフォームを利用することは必ずしも悪いことではないが、これらのプラットフォーム上のアカウントのハッキングは、どれぐらい起こっているのかも不明だ。良い意図が悪い結果になってしまった例だ」とDark Readingにコメントしている。
Podjarny氏も「開発者は必ずしもセキュリティに配慮する人たちではない」と言う。その上、新しいツールを試そうとするので、セキュリティが後手に回るだけでなく、新しいツールそのもののセキュリティも問題となりかねないと指摘する。
Bloombergも「コードリポジトリサービスは問題になりかねない」とのセキュリティ専門家のコメントを紹介する。開発者が使った後にログイン情報を削除するなど、対策が遅くなりがちなこともあるという。