GitHub上に三井住友銀の一部コードが流出「事実だがセキュリティーに影響せず」
■ このスレッドは過去ログ倉庫に格納されています
三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。
Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。
三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。
一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。
日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。
三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。
顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。
三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含まれるエラーチェック処理の一部という。
行員が行内で使うもので、流出したコードは顧客情報などを扱わず、セキュリティーにも影響はないとしている。
流出の経路は現在も調査中だが、行内からでなくシステム開発の委託先から流出したとみている。
(以下略)
https://xtech.nikkei.com/atcl/nxt/news/18/09551/ 鍵が流出ならともかくコードが流出してセキュリティに影響したら
それはコードがゴミだろ 持ち出し云々じゃないだろしまぁ大したプログラムではないわな 業務プログラムのソースなんて大半は他人にとっては無意味なもの 艦これが巻き込まれてるのは笑うけど流出させた本人のリアクションなんかを見たらむしろ笑えなくなる 「三井住友は金をケチって情報セキュリティを疎かにする銀行」というイメージはもう消えない。 今回はたまたま預金者に迷惑の掛からない事案だっただけ。三井住友のケチ体質が根本原因なのだから、いずれもっと大事故を起こす。 これを機会に元請けから最下層のプログラマーへ行くまでの金銭的な余りに酷い搾取をなんとかしろよ
建設なんかでもそうだけれどさ
竹中平蔵は本当に酷いわ こいつの深夜のツイッター面白すぎて眠れなかったわ
次々とヤバい発言していくんだよな ソースコードの流出って別に大きな問題じゃないんだよな
例えば時々会社の窓が全面ガラス張りで
外から仕事風景が見えちゃうものってあるでしょ?
アレみたいなもんだよ
仕事によっては仕事風景が見えるのはアウトだろうけど
ソースコードは基本的に見えても大丈夫
見えたら問題になるのはデータだから >>17
単に多重を止めればいいだけ
それすら守ってないから問題 実はキフハブから世界を守ってたのASKAなんじゃね?
ジャブ中という濡れ衣を着せられて刑務所に入れられてるうちに
キフハブの勢力が拡大してASKAでも押さえきれなくなってるとしたら・・・
ご、ごめんよ、ASKA
今気づいたよ、君が正義のヒーローだってことに。 >>20
ただ盗みに入る側はそこから当たりを付けることが可能になるケースも
こんなん知ってる人間じゃなきゃ出来ないだろうってバグなんかは、優先度低めで放置されることあるからねえ >>20
問題なのはそういう流出をする奴がいるってことよな
今回はたまたま被害のない部分だったってだけで
もしかしたらテストの為とか言って
生データとか抜いてる可能性もあるし >>20
内容によるわな
バグや脆弱性を見つけられて悪用されるケースも考えられる
今回のは軽微そう 流出した中身はたいした事ないとしても
ソースコードを持ち帰れているという事実のがヤバい >>29
委託だから上層への責任は一つ上だけじゃね 年収300万提督
とか笑いものにしていたが割と笑い話にはできない感じになってきてるのか? それ自体はよくても、他に流出してる可能性があるんだから
こわい >>17
この業界の異様な多重請負は竹中平蔵と関係ないだろw 三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か https://www.itmedia.co.jp/news/articles/2101/29/news107.html
GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。 しょうもない下っ端だから流出したものもしょうもないってことだろ >システム開発の委託先
やっぱアウトソーシング先か う〜〜ん...
5 ニューノーマルの名無しさん[] 2021/01/29(金) 12:23:25.23 ID:68/zkuyN0
477 山師さん@トレード中 sage 2021/01/29(金) 11:33:02.96 ID:yBAnkseqM
ソースコード漏洩年収300万マンのスペック
専門留年
46歳
未婚
趣味:艦これ、vtuber
返済目処の立たない借金
15歳年下の彼女
アナル好き
アニメアイコン(無断転載)
フリーエンジニア
SMBC(三井住友銀行)、NTT(海外送金システム関連)、埼玉県庁、日産の情報漏洩
鬱病の通院歴有り
元日立勤務(自称)
ネトウヨ
SNS中毒
パンツ、森憎いマンより高スペック(´;ω;`)
https://hayabusa9.5ch.net/test/read.cgi/livemarket1/1611882931/477 チェックディジット算出とか暗号化ルーチンじゃなければ問題なしでしょう >>40
まぁ中に入るまでが肝だからな
ただ年収云々って話だから、入られたらどこに何が入ってるか特定できる可能性あるね ウェブやサーバのソースならともかく行内システムだとソースの一部が見えたところでまず物理的にアクセスするのが難しいから実質的な問題は無いだろうな >>36
相当な大手の仕事してる人じゃないのか
年収300万とかどういう事よ 外部に漏れること自体セキュリティに問題あるんじゃ? 300はやばいな、ほぼプログラムしかしてないけど2倍以上貰えてるぞ
退職金はないけど泣 >>50
転職サイトでスキルを診断してもらう為に自分の書いたソースをpublic設定でアップロードしてそのままにしていたそうな >>56
ソースコードテクニックをみてほしいというんだな
それで評価かw >>52
まあエラー処理じゃあ
システム内で事が起こった後だし エラー処理部も大切だぞ
エラー処理部が適当で改札機がパッタンパッタンなったのが数年前にあったw >>40
顧客影響はなかろうがこりゃ大規模な訴訟になる可能性あるだろ 誰が誰を訴えるんだろう?極端な話、ソースコードをSMBCに納品した事実すらもう確認できないのではないか? たとえば俺が自作プログラムのソースコードに「三井住友銀行」と書いても、ぱっと見には情報流出事案が発生したように見える。 >>63
個人情報が流出したとか脆弱性とかは関係なく
ソースコードとか業務上の秘匿情報の最たるもんでしょ
SMBCからどんどんエスカレーションしていってこの艦豚が訴えられる可能性は高いよ 会社とか開発したものをそんなところへ、よく公開するな
不思議なこと
仕事している人が常時こんなとこやめて、もっといい給与のところへ行きたいばかり考えているしょうこ >>63
勘定系のコードなんだから1ステップの修正でも100ページくらいのドキュメント作成して元請けのレビュー受けるぞ >>66
雇われてた会社がもう潰れていて存在していないらしく、この個人とのNDA契約が無く会社間同士のみの契約だとこの個人は不問だとTwitterで見た。 public設定って、転職するときに、直メールにそのコードを送ったらいいと思うが、gitohubなら信用されるということか >>71
人がソースを読んでチェックしてるわけではなくて、GitHub上のソースを解析するシステムがあって機械的に年収判定してる >>66
> ソースコードとか業務上の秘匿情報の最たるもんでしょ
そうでもないよ。契約していなければ関係ないし
要件を満たしていなければ意味がない
今回のコード流出は一部でしかないし「有用性」が
認められないでしょうね こいつのために中抜会社が尻ぬぐいするんだろ?いい気味だ 勘定系の今の頭取時代の人が書いた、スッパを公開したら?
横に氏名記述もあるぞw そもそもソースコード上げさせて判定する仕組みがやばい ソースコード上げて自動処理でどれだけ価値がわかるっていうんだろうな
どうせlintツールとかでコードの品質でも見てるだけだろ?
何をやってるかなんて理解できやしない 艦これ提督とチョンの喧嘩のやつか
そらニュースになるわな 三井住友銀行がメインバンクなんだが、明日SMBC株は下がるのか?
上がったら大した影響なしと判断するぞw 勤務先が出張費用とか永年勤続の金を振り込むを振り込む為にここの口座を作れって言ってきたから作ったけど
大丈夫かしら、ここ >>11
はー、底辺コーダーが漏らしちゃったのか
まともな所に転職なんざ出来ないだろな 直接勤めてた会社が倒産したら
訴えられないってすごいな ソースコードは知的財産ではないから流出しても財産権が侵害されたことにならない >>11
これまじなの?
底辺土方ならやりそうだけど 架空名義口座のリストは含まれず?
GitHub上に一時公開されたソースコード群からは、SMBCの他にも
NTTデータ ジェトロニクスやNEC、
警察の暴力団対策に関連すると思われる記述が見つかったとのこと Twitterの日本の検索ランキング上位に乗ってたから調べたらこれだったのでござる >>102
40代
コーダー
年収300万
レイシスト
艦コレや類似オタ
ツイアニメアイコン
情報漏洩
いやもう底辺の役付きすぎて何飜だコレ 三井住友のひ孫請けあたりの開発者が
三井住友の出資しているFindyにだまされ
三井住友の社内システムのソースコードを公開
Findyが「GitHubにアップロードしたソースコードであなたの開発者スキルを査定します!」とかいう怪しいサービスを始めなければこのような悲劇は起きなかった。 ヤフコメで見たんだけど
>しかもSMBCの案件やってた時の所属先は既に倒産済みで、
>施主や元請とのNDAも結んでないみたいなので、
>契約上は免責になるという多重請負の悪いところが露呈した話でもあるという。
もうめちゃくちゃじゃない?これ
まあ三井住友以外に警察庁のシステムのコードとかも公開してたらしいが 土建も多重余裕でやってるでしょ
そもそも福一廃炉作業が6重だの7重だのが横行してるのに >>106
無職だったら数え役満だった
ギリギリ3倍満
なお、損害賠償と収入激減が加わり無事役満になる模様 アメリカでSMBC相当のとこでコード書く人なら1500かもしれんけど
この人は採用されてないとおも >>112
無い無い
銀行とか自治体の大手案件って、何も知らん新人エンジニアとかも混ざった集団が流れ作業をしていく場所
上流で設計図が決まっていて、末端のプログラム的な技術が活きるタイミングはない
ただの作業員 >>112
アメリカだったらインドに投げてるような内容だよ。 >>106
発覚後の一連のコメントがもうね。。。
ありゃ無敵の人だわ SMBCと45歳300万おじさんは直接契約はしてないとしても、
一連の対応に要した人件費は請求できそうだな。 >>110
そもそも日本のIT産業の構造は、旧通産省が土建屋の仕組みを参考にして作ったんだよ。
でも45歳年収300万がお漏らししてもこの程度で済んだのはその仕組みによるとも言える。 多重下請中抜き丸投げジャップだから当然の結果
ジャップは無能の集まりだしな >>120
様々な要因で無理
派遣会社が潰れて契約関係が途切れている
年収サイトへの診断依頼が罠だという話で故意の流出じゃない
そもそも罠診断サイトは三井住友が出資している
本人に高度な流出対策の能力がない(不作為
借金があって支払い能力がない
認知症で責任能力そのものが無いかもしれん
人間を育ててこなかった事のツケ 悪意を持って銀行に損害を与える目的の流出じゃないし仮に賠償請求したところで破産・免責で終わりかな 請求そのものが認められないだろうな
契約、能力、不作為に加えて、三井住友は流出に伴う問題は無いと公言しているんだから
仮に本当に問題があったとしても信頼性の問題から被害額を算出する事自体が出来ない >>17
「なんかわからんけど年収上がるらしいから」で勝手に持ち出すバカなんてどっちにしろ300万でも高いわ スキル偏差値とかいうの95超えてたけど予想年収800万とかで悲しくなった この手のコードは基幹部分には一切触れない(間に仲介API挟む)から、漏れても特に問題にならないよ >>132
入力チェックで穴があった場合に予期しない値をブチ込まれる可能性だってあるんだからダメだろ
フォーマットチェックならまだマシで相関、存在チェックなんでビジネスルールが漏れて攻撃の足掛かりになる事もある、あり得ない 杜撰な管理という悪印象がつく方が信用第一の銀行にとっては大ダメージでは >>17
そもそも
外注という発想が間違い
システムは内製が基本 メガバン官公庁に関わる仕事がgit如きの知識が一切なしでも成り立ち年収300万という事実
こいつも被害者なんや ソース漏れてセキュリティ上問題になるようなシステムなら損害賠償ものだわな ■ このスレッドは過去ログ倉庫に格納されています