今回のやらかしは流石に……と思って移行先を検討してるんですが皆さんなにつかわれてますか?
マネーツリーかなあとは思ってるんですが。
14
コメント一覧
そんなにヤバいんでしたっけ?
投稿者
GitHubに不正アクセスはまあ良いとしても(良くない)
DB抜かれてないのに一部個人情報ぬかれてるし、認証キーにパスワードも抜かれたみたいなんで…
そもそも、こんな問題を起こした会社との連携をメガバンクが続けてくれるのか? という点も気にしてます。
Zaimとマネフォの二刀流です
Zaimの方がUIUXが好きなんですが、サ終のリスク回避とマネフォの方が連携数多いのでマネフォも仕方なく使ってます(二重管理になるので手入力はまあまあめんどいです)
両方とも有料プランです
(編集済み)
有料プランはどんな時に必須という感じですか?
割と無料で満足してるのですが
オンデマンドで更新を頻繁にしたいので有料にしてます。
あとは以下の理由などがあります。
マネフォ: 無料だと連携数4つまでのためそもそも無料版は選択肢から外れる
Zaim: 履歴のカテゴリ分けを一括編集できたり、残高のグループ分けができるなど便利機能がたくさん使える
有料プラン使うことで課金している以上にお金増えてるのを感じるので必要経費だと思って課金してます。
今回の騒動、別に問題ないかなと思い使い続ける予定
私自身ウェブエンジニアで記事を見たところまああるあるだよなとは思った
あるあるだとは思わない(ヤバい会社あるあるという意味なら分かる)けど、これが氷山の一角で他にもたくさんリスクが潜在してるかというと…さすがに大丈夫だろうという気持ちと他にもヤバいんじゃないかという気持ちとで半々くらいかなあ(何も言ってないようなコメントで申し訳ない)
マネフォ有料使うのストップしたいが、他のサービスも同じようなこと起こるんじゃないかと思うと移り先が中々決められない…
いやー本当にそうです。いっそのこと、自分で作るかと考えてしまいました。それはそれでリスクありそうですが自己責任で😆
ざっくり言うと今回は法人向けクレカ情報をGitに上げてて(本来はやらない方法でやってしまった) gitの権限管理をミスって漏れちゃったって感じでしたよね。
情報管理は徹底して欲しい事に変わり無いですが、仮にDB抜かれた場合ユーザー側に出来る事は、、、何ありますかね?
最優先は資産保護ですが、銀行とは基本API連携で参照のみとなっており預金の出し入れはできないと理解してます。ユーザー側でAPI連携を止める事が出来ればそれをやる?
つぎに、マネフォにある個人資産情報は、どういう実装で保護されてるかは分かりませんが、基本諦めるしか無い感じでしょうか?
いずれにしても、自身のマネフォと連携しているサービスがどんな認証してるかは確認をした方良いですねー、ものによっては単純なパスワード認証のサービスもあるので。
gitの権限管理をミスってたのではなく、サプライチェーン攻撃でソースコードを抜かれた(のでDBを抜かれたわけではない)という認識です。
サプライチェーン攻撃というのは完全に防ぐのがかなり難しい攻撃なんですが、通常はサプライチェーン攻撃が成立しても抜かれるのはソースコードのみであることが多く、今回はソースコードに普通は載せない個人情報をいくらか載せてしまっていたことでその分が抜かれてしまっていたという話です。
なんかわりと「何の情報が抜かれたのか」についてよく分かってない人が多く、マネフォに預けている全てのデータが盗まれたみたいな前提で議論してる人が多い印象です(´・ω・`)まあ細かい話はエンジニアでもないとなかなか難しいですからね…
zaimに移行したいけど、諸々難しい、、、
お上からも銀行からも怒られているでしょうし、今回の件で管理体制がしっかりすると思えばむしろ続投はありだと思っています。
