GitHub上のソースコードへアクセスできる認証キーを誤公開 - UUUM

YouTuberのマネジメントを手がけるUUUMは、同社やグループ会社のソースコードが第三者により一時取得可能な状態となっていたことを明らかにした。ソースコードには、個人情報を保存するデータベースのアクセスキーなども含まれる。

同社やグループ会社のP2C Studio、UUUM GOLF、NUNW、LiTMUSで利用する開発プラットフォーム「GitHub」の認証キーが、同社ウェブサーバより取得できる状態となっていることが10月21日に判明したもの。

6月19日以降、認証キーを利用することで「GitHub」にて管理されているすべてのソースコードを取得できる状態となっていたほか、ソースコード内には個人情報を含むデータベースのアクセスキーが含まれていた。

同社では10月25日に個人情報保護委員会へ報告し、調査を進めていたが、GitHubより提供されたログにより、一部の外部向けシステムや、社内システムのソースコードに対するアクセスが確認された。一方、個人情報がアクセスされた履歴は確認されていないとしている。

同社は問題が判明した10月21日に認証キーの無効化を実施しており、同社データベースへのアクセスキーについても変更済みだという。

（Security NEXT - 2022/11/11 ） ツイート

PR

関連記事

第三者が旧ポイントサービスのドメインを取得 - ヴィンクス
パスワードリスト攻撃と見られるログイン試行を確認 - WOWOW
フィッシングURLは約3割減 - ブランドの悪用被害が増加
看護師が患者資料を本に挟んで持ち帰り - 本売却から発覚
ドメイン名紛争テーマにシンポジウム - 紛争事例や対処法と今後の課題
教育支援サービス侵害、ランサムウェアによる個人情報流出の可能性
リモートアクセス用認証キー紛失、外部アクセス確認されず - デ協
ベトナム子会社でランサム被害、製造出荷に影響なし - 大日精化工業
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響