• はてなブックマーク
  • テクノロジー
  • ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
366 usersがブックマーク コメント37

    記事へのコメント37

    • 注目コメント
    • 新着コメント
    chimerast
    chimerast よく4ヶ月も攻撃受けなかったな。WordPressと並んで、ElasticsearchとMongoDBは無差別攻撃の対象なのに。

    2019/08/01 リンク

    その他
    dbfireball
    dbfireball 指摘した方のブログ内容を見るとクラウドサービスの設定をミスって認証無しでも見られる状態だったぽい。社内だけで使うならActiveDirectoryとかLDAPとかで制限かけるのが無難。

    2019/08/01 リンク

    その他
    iriya_0624
    iriya_0624 「第三者への情報流出などの兆候は確認されなかった」ってすごく曖昧な表現に見える。

    2019/08/01 リンク

    その他
    lyiase
    lyiase 何故パブリックに置かれたのかが気になる。データから見て情シス系のシステムを導入したように見えるけど、GIP取るのは企業環境ではデフォルトでは難しいと思うので、何故GIP取れるようになっていたのかが一番気になる

    2019/08/01 リンク

    その他
    JULY
    JULY AWS の Elasticsearch を例に出すと、今でこそ、IAM と連携が可能になっているけど、3年ぐらい前に触った時に、ユーザ認証ができず、memcached のような、あくまでもアプリがアクセスするためのもの、といった印象だったなぁ。

    2019/08/01 リンク

    その他
    hobbiel55
    hobbiel55 「情報流出などの兆候は確認されなかった」とあるが「万一漏洩していた場合を考え、情報が役に立たなくなるよう全てのホスト名やIPアドレス等を変更すべきだ」とか言うセキュリティ コンサルタントが出てきたら地獄

    2019/08/01 リンク

    その他
    Cujo
    Cujo 『ad_user_allから八郷社長とみられる端末情報も確認ができた』

    2019/08/11 リンク

    その他
    yatta47
    yatta47 AWSとか、パプリッククラウド使っててそのままアクセス規制とかしないで使ってたのかな。

    2019/08/02 リンク

    その他
    personal-training-gym-com
    personal-training-gym-com これこわっ!

    2019/08/02 リンク

    その他
    impreza98
    impreza98 こっわ。原因が知りたいもんだけど

    2019/08/01 リンク

    その他
    withnic
    withnic 昔は全文検索エンジンはそれ自身に制限かける方式なくて別で実装が必要だったけど今もなのかな

    2019/08/01 リンク

    その他
    aikawame
    aikawame なぜ社員情報をElasticsearchに…?

    2019/08/01 リンク

    その他
    a96neko
    a96neko セキュリティホールを見つけたらお礼に謝礼が貰えるのかな

    2019/08/01 リンク

    その他
    pmakino
    pmakino 量が凄い

    2019/08/01 リンク

    その他
    junnishikaw
    junnishikaw ホンダ二輪は使い込んだ車両の解析等で金属の熱変形のノウハウを相当数持っていてそういう地道なデータ群が他社比堅牢なエンジンを作れる土台だって話を聞いていて、そういうの流出?って思ったら全然違ってた。

    2019/08/01 リンク

    その他
    Shinwiki
    Shinwiki 本田は容量大きな設計図の類を遠隔地と高速にやりとりするための良いNWがあったような記憶が。見れたんか

    2019/08/01 リンク

    その他
    razokulover
    razokulover ElasticSearchはVPCの中に入れないと攻撃されまくるからな〜。昔個人でEC2でやってたElasticSearchの中身をなんども吹っ飛ばされて泣いた記憶がある😇

    2019/08/01 リンク

    その他
    Mint0A0yama
    Mint0A0yama HondaはAmazon ES含めAWSをガッツリ使っている現場ぽいので、当案件もAmazon ESで扱ってた可能性がある。Amazon ESは2017年10月まで非VPCだったので、そのまま運用している現場は多そう。そういった現場は同様のリスクを残している

    2019/08/01 リンク

    その他
    t2hnd
    t2hnd sは小文字 / 認証系プラグインが 無償扱いになったのはこういうのが一定数あるんだろうなぁ…

    2019/08/01 リンク

    その他
    JULY
    JULY AWS の Elasticsearch を例に出すと、今でこそ、IAM と連携が可能になっているけど、3年ぐらい前に触った時に、ユーザ認証ができず、memcached のような、あくまでもアプリがアクセスするためのもの、といった印象だったなぁ。

    2019/08/01 リンク

    その他
    viperbjpn
    viperbjpn elasticさん公開場所におけるその肝っ玉がすごい

    2019/08/01 リンク

    その他
    rjge
    rjge Publicで作ってデータ入れてしまったのか後からPublicにしてしまったのかわからんが怖い…

    2019/08/01 リンク

    その他
    khtno73
    khtno73 マクラーレンの悪口とかじゃなかった

    2019/08/01 リンク

    その他
    zuzu_sion
    zuzu_sion Shodanで補足されてるということはクラウドサービスの設定ミスですね。間違えてPublicにしてしまったと見える。

    2019/08/01 リンク

    その他
    Fushihara
    Fushihara こわいこわい

    2019/08/01 リンク

    その他
    lyiase
    lyiase 何故パブリックに置かれたのかが気になる。データから見て情シス系のシステムを導入したように見えるけど、GIP取るのは企業環境ではデフォルトでは難しいと思うので、何故GIP取れるようになっていたのかが一番気になる

    2019/08/01 リンク

    その他
    uehaj
    uehaj 認証xpackが有料だったからね。それかdocker-composeでexposeすべきところをports指定してたか。

    2019/08/01 リンク

    その他
    neko2bo
    neko2bo ぎゃぁぁ。怖い。

    2019/08/01 リンク

    その他
    wiz7
    wiz7 ひぇっ

    2019/08/01 リンク

    その他
    iriya_0624
    iriya_0624 「第三者への情報流出などの兆候は確認されなかった」ってすごく曖昧な表現に見える。

    2019/08/01 リンク

    その他
    rrringress
    rrringress 継続調査しないと何年後に利用されそう

    2019/08/01 リンク

    その他
    iwanofsky
    iwanofsky おぉぉ

    2019/08/01 リンク

    その他
    stp7
    stp7 Shodanで見つけたとのことだが、悪意ある人間に見つかってたらすごい被害だったろうね。

    2019/08/01 リンク

    その他
    dbfireball
    dbfireball 指摘した方のブログ内容を見るとクラウドサービスの設定をミスって認証無しでも見られる状態だったぽい。社内だけで使うならActiveDirectoryとかLDAPとかで制限かけるのが無難。

    2019/08/01 リンク

    その他
    chimerast
    chimerast よく4ヶ月も攻撃受けなかったな。WordPressと並んで、ElasticsearchとMongoDBは無差別攻撃の対象なのに。

    2019/08/01 リンク

    その他
    hobbiel55
    hobbiel55 「情報流出などの兆候は確認されなかった」とあるが「万一漏洩していた場合を考え、情報が役に立たなくなるよう全てのホスト名やIPアドレス等を変更すべきだ」とか言うセキュリティ コンサルタントが出てきたら地獄

    2019/08/01 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog

    2019年7月31日、田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearch...

    ブックマークしたユーザー

    • techtech05212024/03/08 techtech0521
    • tsubute2020/06/09 tsubute
    • gurutakezawa2019/11/18 gurutakezawa
    • Nyoho2019/08/17 Nyoho
    • y0sh1kaw2019/08/11 y0sh1kaw
    • cabvm2019/08/11 cabvm
    • Cujo2019/08/11 Cujo
    • dellab722019/08/07 dellab72
    • J1382019/08/07 J138
    • masayoshinym2019/08/06 masayoshinym
    • tsukki3382019/08/05 tsukki338
    • s_nagano2019/08/04 s_nagano
    • hosopy2019/08/04 hosopy
    • wushi2019/08/04 wushi
    • shinaisan2019/08/03 shinaisan
    • pick_mugetu2019/08/02 pick_mugetu
    • raimon492019/08/02 raimon49
    • celt69cobra2019/08/02 celt69cobra
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.