toB関係の影響が気になるな…
お疲れさまです
GitHub認証情報が漏えいしリポジトリがコピー、マネーフォワードビジネスカード370件の情報流出の可能性。銀行連携停止。
マネフォでさえGitHub鍵抜かれてリポジトリ持っていかれるのか。ソースコード流出は開発組織的には致命傷だな
リポジトリになんでそんな情報が含まれていたんだろう
リポジトリ内にカード保有者名とカード番号下4桁が...?
先月はCAMPFIREでGitHubアカウントへの不正アクセスからの個人情報流出が起こっていたね https://campfire.co.jp/press/2026/04/24/campfire/ こっちは第一報の時点では"ソースコードが閲覧された可能性がある"止まりだったけど
AIが関連してるのかここ数週間でいろんなセキュリティインシデントが多発してる。数年後には「2026年ごろのセキュリティ意識って今考えると危なすぎたよな」と振り返ることになりそう。
金融系でそれやっちゃお終いだよ…
決済ログを間違ってコミットしてたとか?流石にシードデータに使うことはないだろうけど
この370人のための特別なロジックを動かすif文がナイーブに実装されてたとか?
なんでそんなものがリポジトリに・・・
なんでGitHubリポジトリに個人情報が含まれてるんですか?
"現時点において、ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があることを確認しております"
アクセス可能なすべてのリポジトリのコミットログ全部のどれかにPIIがあるかはスキャニングしてないとわからん 誰かがやらかして表面上だけ消して満足しやがるし気づいた頃にはハードダイバージしか選択肢がズルズル
設定ファイルにDBのパスワード書いててDB侵入され流出したのかと思っていたのだが直で個人情報をリポジトリに入れてたのか
テストコードのダミーデータがマスクの甘い個人特定可能データだったとかかな。
個人情報をgit管理してたしGHEも使ってなかったってことか?使ってても外部からの接続が可能になってたってこと?金管理してるとこがこれは流石に怖い。。
連携中の三井住友は大丈夫?
認証情報が漏洩してその影響範囲を調査したらこのリポジトリにテストデータが入っていてやむなく公表したという感じだろうか
リポジトリに? 370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
何をどうしたらソースコードに個人情報が入るのだろう
テストかサンプルか
seederに初期の実顧客の命名を一部潰したデータぶっこんでいたとかですかね?
リポジトリで個人情報とは。。。
読みにくい。font-weight: 200 やめい!
“上記のとおり、当社ではサービスの安全運営に支障はないと考えております。” 問題あるしこの認識が問題。
個人情報がgithubに入っているのもだし、370件という中途半端なのも不思議。
個人情報相当の物を含んでいたのか?リポジトリが非公開だったかもわからん。この第一報なんも分からん・・・
なんで設計書共有サイトに個人情報が含まれてんだよ!?教えはどうなってんだ教えは!!
??どういう情報がコミットされたんだ
(概ね完了)とは・・・
リアルデータをテストに利用してたのか?メルカリレベルのガバナンスなのか?
“リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出”
やはりマネーフォワードやカビュウを使うのはリスクが高すぎるな。
初期開発メンバの半分リアルなテストデータなんかな?(・ω・)
370件だからDBじゃなくて直接CSVあたりで管理してたんだろうな
ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性 > これは一体どういうことだろう? GitHubに一部のカード番号保存とは驚愕。
なんやGitHubが悪いってミスリードするようなタイトルやな。
「GitHubへの不正アクセス」って書いてるから脆弱性の類かと思ったけど、ログイン情報が漏洩して、何故かリポジトリに個人情報が置かれててgit cloneで取得されたって事か、GitHubなんも悪くないやん
想像の域を出ないけど、最初期のデータは固定で入れておくことはある。ただそれが完全な個人情報なのかは別だが。しかし技術的にしっかりしてる会社だと思っても最近これ系怖いな…。AI悪用で更に加速している気が。
???????
private repositoryだから何上げてもいいと思ってそう
GWに中の人も大変だ
ダミーデータじゃなくて、実在する「カード保持者名」と「カード番号の下4桁」ってことだよね…どういう経緯でそんなものがリポジトリに
すでにコメントがあるCAMPFIREの件もだけど、何でリポジトリへの不正アクセスでユーザ情報が抜かれるんじゃよというか
pythonとエクセルで自前のそういうの使ってる。怖いから外部のは使わん。
マジかよギフハブやばいな
リポジトリに個人情報が…?
AIエージェントで抜かれてた場合、関連システムも侵入されてるかもな。
どっかの企業でも昔あったけども間違えてコミットしたけどもプライベートだからまぁいいかと流したデータでは?リスク低いし。
マネーフォワードって口座のID/PASS入れて連携する機能あるよね…
利用者のクレカの情報をgit管理してるって一体。たとえ漏洩がなくてもろくでもないことに使われそうで
『GitHub』本体が不正アクセスされたみたいな見出し
は? そもそもリポジトリ内に個人情報ぶっこむって意味わかんねんだが????
csvあげちゃったとかかな。
“ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があることを確認しております”
本番データやログまでGitHubに上がってたらアウトだけど、どういう運用なんだ状態ではある。本番データ使ってテストできる環境があるんだろうけどさ
Githubのせいにも見えてしまう誠実さのかけらも無い企業ということは分かった
"リポジトリに含まれていたファイル内に記載されていた個人情報" 役牌
非公開だからと甘かったんかな
FinTeck系は大変かも
writeは無いとはいえ、あちこちの金融機関へのログイン情報を預かってる立場だよなぁ
>リポジトリに含まれていたファイル内に記載されていた個人情報 意味が分からない。
ブラックリストかキャンペーン用かテストのときに便利だからいれちゃいましたか。でも名前はともかくカードの下4桁って何故…?
コードとセットで管理が必要な個人情報?認証情報が漏れた経路(とそれに対する調査や措置)に関して言及がないまま「当社ではサービスの安全運営に支障はないと考えております」と主張する姿勢はなんだか気味が悪い
githubにクレデンシャルをコミットしてる会社多すぎね?昔やらかしたコミットを綺麗にするの面倒だからそのままにしてたとか?
今回は軽微な被害かもしれないが、名前と資産抜かれたら怖いな。詐欺・強盗のターゲットになりかねない。
マネフォME使ってるけど、信用なくす運用してるな・・
単体テストに実データを使っていたってことなんだろうけど、普通はそれはやらないって…
やっぱテキトーな会社だよな
たとえプライベートリポジトリであっても、そんな情報はソースコードにもDBにも入らないだろう、と思ってしまうけれど……。
ゴミだな。解約
こんな会社に銀行のアクセストークン預けるの怖すぎでしょ
まあテック企業としての評価は低い会社だからな
マネーフォワードって技術力はある会社だと思ってたが個人情報をリポジトリに入れてしまうような木端零細企業みたいな事やってるとは・・・
GW働く人がおりそうやな。
「GitHubへの不正アクセスが発生した」というタイトルはどうなんだ?マネーフォワードがGitHubの認証情報を漏洩させたんだろう?
はい たぶん経営に行き詰まってる サービス改善の余力もない 経営者由来のやつ
え~、ボクの秘密基地、荒らされちゃったんだにゃ!🐱💥
一部ユーザーの情報をコミットしてた…ってこと!?/なんでまたそんな…
“ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施” しれっと書いてあるけどどういうことなのか信じ難い
個人情報の取り扱いには気をつけようね。
「客の個人情報をリポジトリで管理しましょう」なんて言い出す奴がプロジェクト内にいたら笑うわ
GHASのシークレットスキャン使ってないのかな?履歴も含めチェックするから、PIIがもしあったら、履歴抹消→force pushぐらい徹底してやらんとあかん
『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)
toB関係の影響が気になるな…
お疲れさまです
GitHub認証情報が漏えいしリポジトリがコピー、マネーフォワードビジネスカード370件の情報流出の可能性。銀行連携停止。
マネフォでさえGitHub鍵抜かれてリポジトリ持っていかれるのか。ソースコード流出は開発組織的には致命傷だな
リポジトリになんでそんな情報が含まれていたんだろう
リポジトリ内にカード保有者名とカード番号下4桁が...?
先月はCAMPFIREでGitHubアカウントへの不正アクセスからの個人情報流出が起こっていたね https://campfire.co.jp/press/2026/04/24/campfire/ こっちは第一報の時点では"ソースコードが閲覧された可能性がある"止まりだったけど
AIが関連してるのかここ数週間でいろんなセキュリティインシデントが多発してる。数年後には「2026年ごろのセキュリティ意識って今考えると危なすぎたよな」と振り返ることになりそう。
金融系でそれやっちゃお終いだよ…
決済ログを間違ってコミットしてたとか?流石にシードデータに使うことはないだろうけど
この370人のための特別なロジックを動かすif文がナイーブに実装されてたとか?
なんでそんなものがリポジトリに・・・
なんでGitHubリポジトリに個人情報が含まれてるんですか?
"現時点において、ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があることを確認しております"
アクセス可能なすべてのリポジトリのコミットログ全部のどれかにPIIがあるかはスキャニングしてないとわからん 誰かがやらかして表面上だけ消して満足しやがるし気づいた頃にはハードダイバージしか選択肢がズルズル
設定ファイルにDBのパスワード書いててDB侵入され流出したのかと思っていたのだが直で個人情報をリポジトリに入れてたのか
テストコードのダミーデータがマスクの甘い個人特定可能データだったとかかな。
個人情報をgit管理してたしGHEも使ってなかったってことか?使ってても外部からの接続が可能になってたってこと?金管理してるとこがこれは流石に怖い。。
連携中の三井住友は大丈夫?
認証情報が漏洩してその影響範囲を調査したらこのリポジトリにテストデータが入っていてやむなく公表したという感じだろうか
リポジトリに? 370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
何をどうしたらソースコードに個人情報が入るのだろう
テストかサンプルか
seederに初期の実顧客の命名を一部潰したデータぶっこんでいたとかですかね?
リポジトリで個人情報とは。。。
読みにくい。font-weight: 200 やめい!
“上記のとおり、当社ではサービスの安全運営に支障はないと考えております。” 問題あるしこの認識が問題。
個人情報がgithubに入っているのもだし、370件という中途半端なのも不思議。
個人情報相当の物を含んでいたのか?リポジトリが非公開だったかもわからん。この第一報なんも分からん・・・
なんで設計書共有サイトに個人情報が含まれてんだよ!?教えはどうなってんだ教えは!!
??どういう情報がコミットされたんだ
(概ね完了)とは・・・
リアルデータをテストに利用してたのか?メルカリレベルのガバナンスなのか?
“リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出”
やはりマネーフォワードやカビュウを使うのはリスクが高すぎるな。
初期開発メンバの半分リアルなテストデータなんかな?(・ω・)
370件だからDBじゃなくて直接CSVあたりで管理してたんだろうな
ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性 > これは一体どういうことだろう? GitHubに一部のカード番号保存とは驚愕。
なんやGitHubが悪いってミスリードするようなタイトルやな。
「GitHubへの不正アクセス」って書いてるから脆弱性の類かと思ったけど、ログイン情報が漏洩して、何故かリポジトリに個人情報が置かれててgit cloneで取得されたって事か、GitHubなんも悪くないやん
想像の域を出ないけど、最初期のデータは固定で入れておくことはある。ただそれが完全な個人情報なのかは別だが。しかし技術的にしっかりしてる会社だと思っても最近これ系怖いな…。AI悪用で更に加速している気が。
???????
private repositoryだから何上げてもいいと思ってそう
GWに中の人も大変だ
ダミーデータじゃなくて、実在する「カード保持者名」と「カード番号の下4桁」ってことだよね…どういう経緯でそんなものがリポジトリに
すでにコメントがあるCAMPFIREの件もだけど、何でリポジトリへの不正アクセスでユーザ情報が抜かれるんじゃよというか
pythonとエクセルで自前のそういうの使ってる。怖いから外部のは使わん。
マジかよギフハブやばいな
リポジトリに個人情報が…?
AIエージェントで抜かれてた場合、関連システムも侵入されてるかもな。
どっかの企業でも昔あったけども間違えてコミットしたけどもプライベートだからまぁいいかと流したデータでは?リスク低いし。
マネーフォワードって口座のID/PASS入れて連携する機能あるよね…
利用者のクレカの情報をgit管理してるって一体。たとえ漏洩がなくてもろくでもないことに使われそうで
『GitHub』本体が不正アクセスされたみたいな見出し
は? そもそもリポジトリ内に個人情報ぶっこむって意味わかんねんだが????
csvあげちゃったとかかな。
“ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があることを確認しております”
本番データやログまでGitHubに上がってたらアウトだけど、どういう運用なんだ状態ではある。本番データ使ってテストできる環境があるんだろうけどさ
Githubのせいにも見えてしまう誠実さのかけらも無い企業ということは分かった
"リポジトリに含まれていたファイル内に記載されていた個人情報" 役牌
非公開だからと甘かったんかな
FinTeck系は大変かも
writeは無いとはいえ、あちこちの金融機関へのログイン情報を預かってる立場だよなぁ
>リポジトリに含まれていたファイル内に記載されていた個人情報 意味が分からない。
ブラックリストかキャンペーン用かテストのときに便利だからいれちゃいましたか。でも名前はともかくカードの下4桁って何故…?
コードとセットで管理が必要な個人情報?認証情報が漏れた経路(とそれに対する調査や措置)に関して言及がないまま「当社ではサービスの安全運営に支障はないと考えております」と主張する姿勢はなんだか気味が悪い
githubにクレデンシャルをコミットしてる会社多すぎね?昔やらかしたコミットを綺麗にするの面倒だからそのままにしてたとか?
今回は軽微な被害かもしれないが、名前と資産抜かれたら怖いな。詐欺・強盗のターゲットになりかねない。
マネフォME使ってるけど、信用なくす運用してるな・・
単体テストに実データを使っていたってことなんだろうけど、普通はそれはやらないって…
やっぱテキトーな会社だよな
たとえプライベートリポジトリであっても、そんな情報はソースコードにもDBにも入らないだろう、と思ってしまうけれど……。
ゴミだな。解約
こんな会社に銀行のアクセストークン預けるの怖すぎでしょ
まあテック企業としての評価は低い会社だからな
マネーフォワードって技術力はある会社だと思ってたが個人情報をリポジトリに入れてしまうような木端零細企業みたいな事やってるとは・・・
GW働く人がおりそうやな。
「GitHubへの不正アクセスが発生した」というタイトルはどうなんだ?マネーフォワードがGitHubの認証情報を漏洩させたんだろう?
はい たぶん経営に行き詰まってる サービス改善の余力もない 経営者由来のやつ
え~、ボクの秘密基地、荒らされちゃったんだにゃ!🐱💥
一部ユーザーの情報をコミットしてた…ってこと!?/なんでまたそんな…
“ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施” しれっと書いてあるけどどういうことなのか信じ難い
個人情報の取り扱いには気をつけようね。
「客の個人情報をリポジトリで管理しましょう」なんて言い出す奴がプロジェクト内にいたら笑うわ
GHASのシークレットスキャン使ってないのかな?履歴も含めチェックするから、PIIがもしあったら、履歴抹消→force pushぐらい徹底してやらんとあかん