Google Apps 経由で Twitter の社内文書が盗み出されてネットにばらまかれる 27
ストーリー by reo
hogefuga とかそういう 部門より
hogefuga とかそういう 部門より
ある Anonymous Coward 曰く、
Twitter 社の社内文書が Google Apps 経由で盗み出され、ネットにばらまかれる事件が発生したそうだ (Internet Watch 記事より) 。
Internet Watch の記事によると、Twitter 社管理職の個人メールアドレスを元に同社が利用している Google Apps のアカウント情報が盗み出されたとのことで、Twitter 社内で利用されているメモやアイデア、スプレッドシート、財務状況、その他多くの情報が盗み出されたそうだ。
ただしパスワードの選び方などアカウントの管理に問題があったとのことで、Google Apps や Twitter に脆弱性があったわけではないようだ。
hogefuga でも foobar でもなく (スコア:4, 参考になる)
"password" だったようです。 [techcrunch.com]
Hiroki (REO) Kashiwazaki
Re:hogefuga でも foobar でもなく (スコア:5, おもしろおかしい)
「なんでそんなバカなパスワードを使ってたんですか?」
「いえ、これはうちがそこまでバカじゃありません。攻撃者に変えらてしまいました」
「じゃあ、元々なんだったんです?」
「公表は出来ませんが安全なパスワードでした」
「ホントに?」
「断言できます」
「でもクラックされたんですよね? なぜ?」
「・・・」
# 今回のがそうだというんじゃなくて、インスパイアされて思いついただけなのでオフトピですが。
Re: (スコア:0)
"password"は論外としても、
そもそも、社内機密文書に自由にアクセスできるクリティカルな権限を、
高々10文字前後のパスワードなんて簡単に推測可能なもので保護しよう
いうのが間違い。
> Google Apps や Twitter に脆弱性があったわけではないようだ。
そんな緩い認証しかないGoogle Appsに社内機密を預けたTwitterには
間違いなく問題あったと思う。
また、「Googleは入れ物を提供しただけなので罪は無い」と考える人も
いるかもしれないが、
Google Appsがローカルアプリケーションの置き換えを謳っている以上、
デフォルトでそんな緩い保護しか提供していないのなら、
謳い文句に瑕疵があるわけだ。
クライアントが無知なのは罪かもしれないが、
無知なクライアントを騙して益を吸い上げる側に罪が無いとは言えまい。
まあ、他社に機密文章を預ける行為にはそれ相応のリスクがある
と言えば、まあそれだけのこと。
Re: (スコア:0)
まずは、暗号についての教育をして、どのようなパスワードが駄目なのか?の理解を徹底してから使う事とするべきです。
なので、そういった教育をしないで使ってしまった会社が悪いです。
まぁ、どうしてもGoogleの方へ責任を押し付けたいのなら、24文字以下のパスワードは通さない、などのようにするべきか・・・
Re: (スコア:0)
データは手元で自分で管理しろとストールマン尊師も言っておられましたな。
「クラウド」に噛み付いたことのほうがインパクトもあり、そっちにみんな目がいってたけれど。
本当に言いたかったのはこっちですよね。
Re: (スコア:0)
>自分で管理しろと
いや、RMSの主張は、データも
管理(という名のアクセス制限)を「するな!」というものでしょう。
氏のPCやワークステーションはパスワ無し、ときいたぞ。
なぜなら「ワタシのPCにあるデータをいつでも誰でも活用できるように」だ、と。
#ほんとに秘匿したい情報は電算化しない、ってことなのかな?>RMS
#それはそれでなかなか原始人的な生活だ…
Re: (スコア:0)
Re: (スコア:0)
それの何が悪いの?
少なくとも俺はこのコメで面白い情報を得た。
彼がどこから情報を得たとか関係ない。
もとの日記だってTech Crunchの記事を参照してんだろ?
その違いは?
Re: (スコア:0)
「自分の力で見つけた」のでなければ、
「誰それによると」「このサイトの情報では」と出展を示すのが道義では。
# 学術分野ならルール。カジュアルなネット上のニュースメディアという意味で道義。
軽い気持ちで試さないように (スコア:3, 参考になる)
Re: (スコア:0)
それはつまり某○○危機一髪!的なゲームか
このゲーム名は
ログインできたら負けかなと思ってる
に一票
#危機一髪のゲームって元は助け出したら勝ちだったとか聞いたけど気にしない
アクセス制限 (スコア:2)
最低、IPでアクセス制限くらい必要ですよね・・・
うちの会社もGoogle Apps使っていますが、
自宅など、社外からのアクセスは運用で禁止されています。
みんな使ってるけどメアドが他人に知られるリスク (スコア:0)
アドレスがわかれば、それをもとにいろんなところで手当たり次第に試せるよね。
スパム業者に漏れればそれだけで鬱陶しいし。
せめて、本当のメール送受信用と、サービスのアカウント用でまったく異なるものを使い分けるとかさ。
それくらいするよね、いまどきなら。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
フリーメールを認めない取引先を持つと大変
なぜかgmailは認められる。
Re: (スコア:0)
持つことが出来るのに、持たないと言い切れる年配の人々が多く生息しています。定時に帰っちゃうし。
学校という職場です。
Googleに問題なしとも言い切れない様子 (スコア:0)
こっちの記事 [itmedia.co.jp]は両論併記になってる。
クラウドに企業データを置く危険性 (スコア:0)
を示す一例かな?
どんなにセキュリティに優れたクラウドサービスでも、
一社員のミスでデータが漏れてしまうのは危険だなぁ。
パブリックなクラウドを企業で使うってのはやはり怖い。
Re:クラウドに企業データを置く危険性 (スコア:2, すばらしい洞察)
まぁ、漏れなくても預けてる相手には筒抜けなわけで、なんで社内文書入れるかね?とは思った。
Twitterだって、非公開のつぶやきも含めて、宝の山として使っているだろうに、その辺は考えもしないんだろうか。
俺がNSA高官ならGoogleにスパイとかエシュロンへの渡しを入れちゃうね。
Re:クラウドに企業データを置く危険性 (スコア:1)
>まぁ、漏れなくても預けてる相手には筒抜けなわけで、なんで社内文書入れるかね?とは思った。
「クラウドほにゃらら」ってのはこれが前提になるんですよね?
みんなが思っている事なんだろうけど、セキュリティに関してはどこまで許可しないと
いけないんでしょうかねぇ
悩ましいです。
Re: (スコア:0)
Googleのサービスなら全面的に信頼できます。
預けたファイルが知らぬ間に全世界に公開されていても自己責任です。
慌てて無料版を発表した某社とは違うんです。
# このコメントはフィクションです。
Re: (スコア:0)
どこまでGoogleがやれるかという視点で使用許諾を読むと非常に興味深い。
Re: (スコア:0)
例えばサイボウズのようなグループウエアを自社内に用意し、社外からもアクセス
出来るようにしていただけならこの問題は起きなかったと言えるかどうか…
Re: (スコア:0)
>クラウドとは関係ないんじゃね?
クラウドと同じ問題を「自分で引き起こす」ことはできますが、
じゃあ
「自分で引き起こさないように努力できる分
(専用線を引く、外部からアクセス一切禁止、など)を、
クラウドでも同じく"自分で"制御できるか?」
といえばそうではありません。
そこまでしたらクラウドの意味はないですから。
そしてクラウドというものに集約が進めば、
そこが集中して狙われる攻撃対象となります。
自社システム上であれば
「甘いパスワードの奴がいるな、まぁ警告出しておくか」で済むところが
クラウド上では即莫大なクラッカーの前に差し出されているということです。
やばい (スコア:0)