GW中のインシデントは辛い
git履歴は一生残るからな。本番データをリポジトリに入れるのは流石に脇が甘すぎると言わざるを得ない
gitの履歴から消してもPRは変わらないから秘匿情報が残り続ける!!!!!!githubにお願いしてPRも消してもらおう!!!!!!!!!
後半を書きたかったんだろうけど、前半がお粗末すぎて到達するのがしんどかった...ちなみにカード番号の下桁保存するのは個人的には致命的な問題につながると思ってる
AIがドラフトを書いたかどうかではなくて、AIが出したものをほぼそのまま記事にしてそうということを言ってるんだが?内容の確認もされてないPV稼ぎらしきAIが書いた量産記事で良いっていうなら、好きにすれば良いよ。
AI頻出構文だいぶイラッとするからどうでもよくはないかな
“本番カード保持者の氏名と下 4 桁が 370 件、そして ソースコード内に各種認証キー・パスワード が含まれていた” ひえっ
確かになぁ。 “「〇〇 ◯◯さん、お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります。”
これは良い記事。それはともかく、AIがドラフトを書いたかどうかなんてどうでも良いと思うのだが。
“2FA を有効化していてもフィッシングプロキシで突破される事例があり、FIDO2 / Passkey ベースでないと完全には防げません” Passkey大勝利
マネーフォワードなんてユーザーの一部の金融機関の生パスワードを保存してユーザーになりすましてスクレイピングしてる反社企業でしょ。こんな極悪行為が何故社会的に許容されているのやら。いつか激しく事故るよ。
設計図共有サイトが…
「シークレットスキャナを CI と pre-commit に組み込む」
マネーフォワードは、有料ユーザにすら広告を出すゴリゴリ営業企業というイメージだったので、「やっぱりか」という印象。やめてよかった。
GitHubに上げた履歴消す時はローカルリポでgit reset --hardしてforce pushだろ。加えて今はgit-filter-repo --sensitive-data-removalもある。なので、そもそもgitの使い方を分かってない素人感すらある
うわぁ、ボクの宝物のお魚情報みたいに大事なものが…にゃ!
今回の件、全然ダメだと思う
どこに何の情報を保存しているかってのももちろんあるけど、どんなサービスだって不正アクセスされた時点でアウトなんだよな。
既に退会済み。やっぱ日本のRailsでイケてるっしょ?なPaaSってゴミだわ
“お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります”
Githubをつかわなければよい。
情報漏洩に乗っかってAIで解説記事を書くと伸びるっぽいな
やっぱ github は enterprize に限るね。gitlab も悪くないよ
何がだるいって、マネーフォワードをこのGWで解約して自分で似たようなサービス作って管理させられる事が決定したことがだるい。
カードの下4桁のみと書かれているが、"マネーフォワード ビジネスカードの番号"と言った時点で上8桁も決まる。で、下1桁がチェックデジットなので、発行枚数が多いカードではなければトライする番号範囲は結構狭い。
こういうのがたまにないとみんな気が緩むでしょ。お気の毒だけどしょうがない。最近増えてる気がする。
gitは消しにくいからって令和にエンジニアが言っていいセリフじゃないわな。もう十数年か誰もがも通った道。
酷い記事。会社の、合併の経緯から紐解いてケッサイの方の会社は初期の方にしょぼい開発力だったってのがわかりやすい答え
“既存リポジトリの過去履歴をクリーンアップ”
テストランで吐いたlogをgitignoreし忘れたとTwitterで分析している人がいたがそれじゃないか。よく読めばこの記事にも書かれてる
途中からAIっぽくてしょんぼりした。
マネフォクローンのリポジトリでまた火が出るな…
クレデンシャルな情報を意識しとるかどうかじゃが、最近はねー、お任せしがちなのでね。ちゃんと使う道具は整備しとかんとなぁ
なんか文章が頭に入ってこない。
>ありがちな動線 「ありがち」なんて評することすら論外と思ったらAIちゃんの未検証記事か。ところでこれgithubはエンタープライズ契約だったんだろうか。個人情保護の基本が抜けてるしこれアメリカにupしてたら…
長い記事は、AIに要約してもらった後で目を通すかどうか決めている
AI生成かどうかなんてどうでも良いから記事内に誤りがあればそれを教えて欲しい!!鵜呑みにしちゃうからさ〜
流出したクレカはイシュアがマネフォに限定されてるのでBINの6桁も特定済み。VISAは16桁なので不明なPANは残り6桁。Luhnアルゴリズムを満たす組み合わせで、10万通りまでは絞れるのか。即危険というほどではないがキモいな
Rails Slop
カード番号残置はテストデータの名残ではないかという仮説も。なるほど。「本番個人情報をテスト環境に流用する時点でアウトに近い運用」という指摘はその通り。
漏洩リスクの本質はここだよな..."「〇〇 ◯◯さん、お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります。"
上場してからくだらない広告メールがわんさか来てた状況を考えるとまともなエンジニアはもういないのかもね。だって有りえないもん現金に直結するサービスでリポジトリに個人情報格納庫するなんて禁忌中の禁忌じゃん
めちゃ増えると思うよ。Claude code経由でしかgithubを知らない、セキュリティとは何かを知らない人が相当入り込んでくる。個人情報抜き放題の時代になる気がするね(皮肉
情報出てないうちに野次馬がLLMにこんなん書かせたやつにみんな群がりすぎては
よくまとまっててわかりやすいし、よい記事だと思う。(未検証かもしれないし、細かいことは問題かもしれないけど、個人的にはまずは大枠で警鐘を鳴らすだけでも意味はあると思う)
マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか
GW中のインシデントは辛い
git履歴は一生残るからな。本番データをリポジトリに入れるのは流石に脇が甘すぎると言わざるを得ない
gitの履歴から消してもPRは変わらないから秘匿情報が残り続ける!!!!!!githubにお願いしてPRも消してもらおう!!!!!!!!!
後半を書きたかったんだろうけど、前半がお粗末すぎて到達するのがしんどかった...ちなみにカード番号の下桁保存するのは個人的には致命的な問題につながると思ってる
AIがドラフトを書いたかどうかではなくて、AIが出したものをほぼそのまま記事にしてそうということを言ってるんだが?内容の確認もされてないPV稼ぎらしきAIが書いた量産記事で良いっていうなら、好きにすれば良いよ。
AI頻出構文だいぶイラッとするからどうでもよくはないかな
“本番カード保持者の氏名と下 4 桁が 370 件、そして ソースコード内に各種認証キー・パスワード が含まれていた” ひえっ
確かになぁ。 “「〇〇 ◯◯さん、お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります。”
これは良い記事。それはともかく、AIがドラフトを書いたかどうかなんてどうでも良いと思うのだが。
“2FA を有効化していてもフィッシングプロキシで突破される事例があり、FIDO2 / Passkey ベースでないと完全には防げません” Passkey大勝利
マネーフォワードなんてユーザーの一部の金融機関の生パスワードを保存してユーザーになりすましてスクレイピングしてる反社企業でしょ。こんな極悪行為が何故社会的に許容されているのやら。いつか激しく事故るよ。
設計図共有サイトが…
「シークレットスキャナを CI と pre-commit に組み込む」
マネーフォワードは、有料ユーザにすら広告を出すゴリゴリ営業企業というイメージだったので、「やっぱりか」という印象。やめてよかった。
GitHubに上げた履歴消す時はローカルリポでgit reset --hardしてforce pushだろ。加えて今はgit-filter-repo --sensitive-data-removalもある。なので、そもそもgitの使い方を分かってない素人感すらある
うわぁ、ボクの宝物のお魚情報みたいに大事なものが…にゃ!
今回の件、全然ダメだと思う
どこに何の情報を保存しているかってのももちろんあるけど、どんなサービスだって不正アクセスされた時点でアウトなんだよな。
既に退会済み。やっぱ日本のRailsでイケてるっしょ?なPaaSってゴミだわ
“お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります”
Githubをつかわなければよい。
情報漏洩に乗っかってAIで解説記事を書くと伸びるっぽいな
やっぱ github は enterprize に限るね。gitlab も悪くないよ
何がだるいって、マネーフォワードをこのGWで解約して自分で似たようなサービス作って管理させられる事が決定したことがだるい。
カードの下4桁のみと書かれているが、"マネーフォワード ビジネスカードの番号"と言った時点で上8桁も決まる。で、下1桁がチェックデジットなので、発行枚数が多いカードではなければトライする番号範囲は結構狭い。
こういうのがたまにないとみんな気が緩むでしょ。お気の毒だけどしょうがない。最近増えてる気がする。
gitは消しにくいからって令和にエンジニアが言っていいセリフじゃないわな。もう十数年か誰もがも通った道。
酷い記事。会社の、合併の経緯から紐解いてケッサイの方の会社は初期の方にしょぼい開発力だったってのがわかりやすい答え
“既存リポジトリの過去履歴をクリーンアップ”
テストランで吐いたlogをgitignoreし忘れたとTwitterで分析している人がいたがそれじゃないか。よく読めばこの記事にも書かれてる
途中からAIっぽくてしょんぼりした。
マネフォクローンのリポジトリでまた火が出るな…
クレデンシャルな情報を意識しとるかどうかじゃが、最近はねー、お任せしがちなのでね。ちゃんと使う道具は整備しとかんとなぁ
なんか文章が頭に入ってこない。
>ありがちな動線 「ありがち」なんて評することすら論外と思ったらAIちゃんの未検証記事か。ところでこれgithubはエンタープライズ契約だったんだろうか。個人情保護の基本が抜けてるしこれアメリカにupしてたら…
長い記事は、AIに要約してもらった後で目を通すかどうか決めている
AI生成かどうかなんてどうでも良いから記事内に誤りがあればそれを教えて欲しい!!鵜呑みにしちゃうからさ〜
流出したクレカはイシュアがマネフォに限定されてるのでBINの6桁も特定済み。VISAは16桁なので不明なPANは残り6桁。Luhnアルゴリズムを満たす組み合わせで、10万通りまでは絞れるのか。即危険というほどではないがキモいな
Rails Slop
カード番号残置はテストデータの名残ではないかという仮説も。なるほど。「本番個人情報をテスト環境に流用する時点でアウトに近い運用」という指摘はその通り。
漏洩リスクの本質はここだよな..."「〇〇 ◯◯さん、お持ちのカード(下 4 桁 1234)に不審な利用がありました」という詐欺メールに名前と下 4 桁が一致した状態で書かれていたら、引っかかる人の率は跳ね上がります。"
上場してからくだらない広告メールがわんさか来てた状況を考えるとまともなエンジニアはもういないのかもね。だって有りえないもん現金に直結するサービスでリポジトリに個人情報格納庫するなんて禁忌中の禁忌じゃん
めちゃ増えると思うよ。Claude code経由でしかgithubを知らない、セキュリティとは何かを知らない人が相当入り込んでくる。個人情報抜き放題の時代になる気がするね(皮肉
情報出てないうちに野次馬がLLMにこんなん書かせたやつにみんな群がりすぎては
よくまとまっててわかりやすいし、よい記事だと思う。(未検証かもしれないし、細かいことは問題かもしれないけど、個人的にはまずは大枠で警鐘を鳴らすだけでも意味はあると思う)