なんともはや 何度このようなことが繰り返されるのだろうか?
従業員のミスで企業の知的財産権資料が盗まれた(かも知れない)
Gigazineより
メルセデス・ベンツは社外のコミュニティと経験や価値観を共有したり、オープンソースソフトウェアに貢献したりするため、GitHubにパブリックリポジトリを持っています。しかし、セキュリティ調査会社の調査により、メルセデス・ベンツのプライベートリポジトリへアクセス可能な、従業員の認証トークンがパブリックスペースに置かれていて、機密データや知的財産が誰でもダウンロード可能な状態だったことがわかりました。
How a mistakenly published password exposed Mercedes-Benz source code | TechCrunch
https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/
以下がメルセデス・ベンツグループのGitHubのパブリックリポジトリ。さまざまなAPIやデジタル生産システム「MO360」のフロントエンドツールキットなどが公開されています。
Mercedes-Benz Group · GitHub
https://github.com/mercedes-benz
セキュリティ調査会社・RedHunt Labsのシューバム・ミタル氏がニュースサイト・TechCrunchに語ったところによると、2024年1月にネットの定期スキャンを行っていたところ、パブリックGitHubリポジトリにおいてメルセデス・ベンツの従業員の認証トークンが見つかったとのこと。
このトークンを用いるとメルセデス・ベンツのGitHub Enterprise Serverにアクセスし、プライベートソースコードリポジトリのダウンロードが可能になります。当該リポジトリには接続情報やクラウドアクセスキー、設計図、設計書、シングルサインオン用パスワード、APIキー、その他の内部情報など大量の知的財産が保存されており、誰でも無制限に監視されずアクセス可能になっていたとミタル氏は説明しています。
続きはこちらから👇
メルセデス・ベンツの従業員のGitHubトークンがパブリックリポジトリに置かれていて誰でも知的財産がダウンロード可能な状態にあったことが判明 - GIGAZINE
https://gigazine.net/news/20240130-mercedes-benz-github-token/
2024年01月30日
公共のクラウドにアップしているわけですから そりゃ間違うと偉いことになります。
これまで 何度も繰り返されてきた GitHub パブリックリポジトリ 問題 今後もトラブルは絶えないだろう
どんな便利なものでも使い方を間違えると大事になります。
紙の文書なら金庫に入れておけばいいだけなんですけどね
