tj-actions のインシデントレポートを読んだ
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
Kyashの件
【重要】6ヶ月以上ご利用のないお客さまへの再利用のお願いについて この件が予告通り施行されたやつね。 自分のアカウントはなぜか停止されていなかった(おそらくお遊びで作られた共有口座に入金があったからだと思うが)(まあ67ポイントしか持ってないので止まっても別に良かった)が、いくつか気になることがあったので調べていた。資金決済に関する法律は結構好きなのだ。 KyashバリューとKyashマネーどちらも資金決済法に基づいて提供されるサービスだけど、Kyashバリューは前払式支払手段で、Kyashマネーは資金移動業に係るサービスで性格が異なる。後者は銀行が担っていた業を一部解禁するものであり、前者よりかなり厳格なもの。わかりやすいところで言えば利用者保護のための供託金の額は、前者は未使用残高の50%以上、後者は100%以上となるなど保護の度合いが異なる。今回の件では、アカウントが削除されるのでど
バリュ - はてな匿名ダイアリー
広末で言う方がニュースバリュー圧倒的に高いってだけだろ 自称つけるのは警察から確認とれたと発表がないってだけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
