Meet at Idobata

21世紀の開発者のためのグループチャット Idobata の開発ブログです。

Idobata の添付ファイル一覧が意図せず公開されていた問題のご説明とお詫び

いつも Idobata をご利用いただきありがとうございます。このたび、Idobata にアップロードされたすべての添付ファイルを一覧・取得可能な状態になっていたことが判明いたしました。現在は対策を完了しております。ユーザの皆様に多大なるご迷惑をおかけしましたことを、深くお詫び申し上げます。

経緯

2018年7月10日(火) 15時、Idobata の Amazon S3 バケット (https://idobata.s3.amazonaws.com/) にアクセスすることで添付ファイルを一覧・取得できる状態になっているということが判明 (※)。

同日16時30分、対象バケットの設定を修正し、一覧が公開されないよう設定変更。

7月12日(木) 18時、それまでにアップロードされた添付ファイルの URL を変更する対応を完了。

※ Idobata はメッセージに添付されたファイルを Amazon S3 に保存しています。

原因

S3バケットの権限設定ミスにより、バケット内のファイル一覧が公開状態になっていたことが原因です。

影響範囲

2018年7月10日(火) 16時30分 までにアップロードされたすべての添付ファイルです。公開状態となっていた期間は、画像のアップロード機能の提供開始 (2013年12月) 以降からとなります。尚、メッセージ本文など他のデータは S3 に保管していないため影響ありません。

対策

以下の対策を行ないました。

  • S3 バケットのファイル一覧の公開設定を削除 (2018年7月10日(火) 16時30分)
  • 全ての添付ファイルの URL を再生成し、元の URL を無効化 (2018年7月12日(木) 18時)

今回の件に関しましてご不明な点などございましたら、お手数をおかけいたしますが hi@idobata.io までお問い合わせください。

本件は、ゲヒルン株式会社の平澤様からご報告いただいたことにより判明いたしました。心より御礼申し上げます。

改めまして、このような事態が発生し、ユーザの皆様に多大なるご迷惑をおかけしましたことを謹んでお詫び申し上げます。