Skip to content

Instantly share code, notes, and snippets.

@mala
Last active August 12, 2021 08:15
Show Gist options
  • Save mala/9e587b0c9fe9f5f208f593bc6077a21d to your computer and use it in GitHub Desktop.
Save mala/9e587b0c9fe9f5f208f593bc6077a21d to your computer and use it in GitHub Desktop.
noteとインシデントハンドリングと広報の仕事

noteとインシデントハンドリングと広報の仕事

前提

  • この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。
  • noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。

10月2日追記

  • 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。
  • 脆弱性の指摘や修正方法以外にも意見を伝えることがありますが、公表されている文章については、あくまでnote社内で検討されて発信されているものであり、必ずしも自分の意見が反映されたものではありません。(事前に確認などはしてません)

重要

この記事には、9月30日付けと、10月1日付けでnoteに報告した脆弱性についての解説を後ほど追記します。誠実な対応が取られないのであれば、未修正の状態でも公開します。

10月2日追記: 開発者と直接連絡が取れており誠実に対応してもらっているので未修正の状態で公開する可能性は低いでしょう。同様の設計が必要となるようなインターネットサービスにとって重要な知見でもあるため、修正されたら詳細を公開します。これは仕事として請け負った場合であっても公開します。 (できればnote社から開示されることも望ましいと考えますが、書きづらい部分もあるかと思います)

主張及びnoteへのご提案

  • 広報がおかしいことをやると、その企業に所属している社員が恥をかくことになるし、見ていてつらいのでちゃんとして欲しい。

1. 第一報を訂正すべきである

  • noteは、まず何よりも、第一報 https://note.jp/n/n3e6451c9b147 の「一般的なIPアドレスから、個人情報を特定することはできません」について明確に訂正すべきである。
  • 第二報 https://note.jp/n/naf3775e93a58 でマシになったかと思いきや第一報の訂正ではなく、第二報も掲載後に配信されたメール文面にも相変わらず「一般的なIPアドレスから、個人情報を特定することはできません」が入っていた。
  • 参考 https://twitter.com/bakera/status/1294997463581958145 https://twitter.com/bw_kazuma_2525/status/1295029021374324738
  • noteが何故こんなに延焼しているのかといえば「こいつら個人情報とかプライバシーとか何も分かっちゃいないな、親切な私が教えてあげないと」という状態になっているからであり、法務やら弁護士に相談なんかもしたんだろうが、第一報を訂正していない時点で何も分かっちゃいない。

2. セキュリティが万全だと主張するのではなく、脆弱性報告を受け付ける姿勢、体制を強化すべきである

  • 9月30日付けで、最終報と思われるリリースが打たれたが https://note.jp/n/n2115642a4e45 「現在、すべてのサービスは適正かつセキュリティ上、問題ない状況に改善されております。」という記載が含まれていた。
  • おいおいおいおい本当か〜、まともにセキュリティ診断なりしていたら、普通はこんなこと書けねえんだよ、と思って軽く調べてみたら、早速脆弱性を見つけたので、深津にDMした。10月1日にも追加で報告をしている。
  • 自分が報告した問題はある程度、攻撃に前提条件が必要なものであるが「現在、すべてのサービスは適正かつセキュリティ上、問題ない状況に改善されております」という記述が、欺瞞に満ちていると感じさせるに十分なものだった。

把握している脆弱性についての情報開示

  • 9月30日に報告した問題については、報告時点において「把握済みの問題で修正進行中」とのことだった。(根本的な問題の対応には時間がかかる見込み)
  • 10月1日に報告した問題については、当日中に修正されている。単体では修正済みですが、上の問題と原因箇所に関連があるため、しばらく詳細を開示しません。
  • 9月30日付けで別の人が報告した脆弱性についても、速やかに修正されたことを把握している。

更新履歴

  • 2020-10-02 関係性及び、9月30日に報告した脆弱性に関する情報を追記
  • 2020-09-30 公開
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment