Uberの失敗と教訓　5700万人分の個人データ流出

GitHubにクラウドへのアクセス情報

　データはどのように奪われたのだろう。詳細に報じたDark Readingによると、まずコードリポジトリのGitHubが狙われた。UberのエンジニアたちはGitHubを使って共同作業をしており、ここにインフラとして利用しているAWS（Amazon Web Services）へのログイン情報が入っていた。流出した個人データはAWSに置かれていた。

　攻撃者はエンジニアの1人のプライベートのログイン情報を獲得し、それを使ってAWSに侵入し、さらなる情報を得たのだろう、とセキュリティ企業SnykのCEO、Guy Podjarny氏は予想する。

　GitHubなどのサービスは、離れた場所から共同作業ができることで開発者に人気がある。セキュリティ企業ImpervaのTerry Ray氏は「オンラインコラボレーション・コーディングプラットフォームを利用することは必ずしも悪いことではないが、これらのプラットフォーム上のアカウントのハッキングは、どれぐらい起こっているのかも不明だ。良い意図が悪い結果になってしまった例だ」とDark Readingにコメントしている。

　Podjarny氏も「開発者は必ずしもセキュリティに配慮する人たちではない」と言う。その上、新しいツールを試そうとするので、セキュリティが後手に回るだけでなく、新しいツールそのもののセキュリティも問題となりかねないと指摘する。

　Bloombergも「コードリポジトリサービスは問題になりかねない」とのセキュリティ専門家のコメントを紹介する。開発者が使った後にログイン情報を削除するなど、対策が遅くなりがちなこともあるという。