librahack 岡崎市中央図書館ウェブサーバ事件 2010/9/28昼ぐらい-9/29昼ハイライト
自治体リスト作ったら、「何人も」の自治体かどうか調べて、「オレがやる」リスト作って、手分けして請求すればいいかなと。必要なのは、スキャナと、少しの勇気と、数百円。 #LibraHack
2010-09-29 08:45:25@Vipper_The_NEET 了解です。ちまちまですが、情報公開条例確認しようと思いますが、今日、明日は出張で、作業進まないかも。 #LibraHack
2010-09-29 08:52:27そもそも、公開サーバに、個人情報を扱う業務用のファイルが存在するのがおかしい。間違えて混ぜた以前の問題があるぞ。 #LibraHack
2010-09-29 09:00:01http://htn.to/sFqs7e にリンクされているPDFは作成日が 2010/09/28 16:41:02 で元ファイルが「三菱資料2.doc」ということになってる。「2」とこの更新日時が気になる #librahack
2010-09-29 10:28:35本件、導入当時からの全てのアクセスログが監査できる状態にあるのだろうか。で、ないと、流出の有無なんか判断できないはず。 #LibraHack
2010-09-29 12:23:39Webのログは仕様として保管期間が決められていたとしても、ftpのログがどうだったのかは微妙かも。 QT @keikuma: 本件、導入当時からの全てのアクセスログが監査できる状態にあるのだろうか。で、ないと、流出の有無なんか判断できないはず。 #LibraHack
2010-09-29 12:30:20このシステム。個人情報テーブルは公開サーバからアクセスできて、暗号鍵も公開サーバにあって、スクリプト1本置けば、全個人データが公開される設計なのだが、FTP経由で更新も可能だったのだから、全期間のログを確認しなければ安心できない。 #LibraHack
2010-09-29 12:34:52北海道栗山町、いろいろ公開されていたようですね(今は閉鎖されていますが) http://www.gegereka.com/?query=melil&bank=8&sidx=1 #librahack
2010-09-29 12:53:18「V規登録者.mdb」って何のファイルだろう? ファイル名の頭が文字化けしてますが「新規登録者」でしょうね。 http://www.gegereka.com/?query=melil%2Fwork&bank=8&sidx=1 #librahack
2010-09-29 12:56:42現時点で「checked 46 days ago」とあるので、篠栗らのAnonymous FTPサイトが閉鎖されたときから一週間後の時点で、オープンしていたということ。どういう管理体制なんだと。 #librahack
2010-09-29 13:03:58「新」は0x9056、「V」は0x56なので、間違いないと思います。どのファイルも頭1バイトが正常に認識されてない見たいですね。 RT @HiromitsuTakagi: 「V規登録者.mdb」って何のファイルだろう? http://is.gd/fyU01 #librahack
2010-09-29 13:05:01librahack関連はとりあえずこんなもんで。 全般的にシステム屋を叩いて図書館の中の人を叩かずみたいな風潮が醸成されていて違和感がひどい。
2010-09-29 13:08:12こういう時にメンテナンスするのだから、後で「証拠隠滅した」と言われない様に、作業前後や作業内容の記録を取るのに細心の注意を払っているんでしょうね。じゃないと、後で、都合が悪かったから記録を残さなかったのでは無いという、悪魔の証明を求められる。 #LibraHack
2010-09-29 13:09:36サーバの実物映像あり。 http://tokai-tv.com/news/fnn-tokai/ondemand/20100928/20100928_03.html #librahack
2010-09-29 13:18:33そろそろ #librahack 関連で、「そんな業者で大丈夫か?」なんてpostを見掛けるかと予想してたんだけど、まだこねーな。http://www26.atwiki.jp/librahack/ あと http://nico.ms/co472365 の伸びが異常。
2010-09-29 13:21:14ああっ言うの我慢してたのに!ということでここを見ておられる図書館関係の方は、すぐバックアップメディアを差し押さえて頂けると幸い。 QT @keikuma: 磁器テープでバックアップを取っている自治体は、証拠保全、間に合うかも知れません。 #LibraHack
2010-09-29 13:22:37今回の発表に、栗山町でもパスワードなしFTPで個人情報を公開していた件が含まれていないのですが、「マルT対策会議」では隠蔽することに決めたんですかね。篠栗町やえびの市と違って公開サーバで個人情報を扱っているのですが。 http://bit.ly/dbKhrQ #LibraHack
2010-09-29 13:28:17