メルカリの顧客情報など流出 2万7千件、口座番号や従業員名

Codecovの脆弱性で、売上金の支払いに関連する顧客の銀行の口座番号や振込金額が流出したという事はそれらがGitHubに上がっていたというコトですかね。

だとするとそもそもGitHubで管理しているデータに問題がありそうな気がしますね。

こちらの経緯まとめ、発表初動として極めて良いですね。
https://about.mercari.com/press/news/articles/20210521_incident_report/

Codecovというテストカバレッジツールに脆弱性があり、
CI環境に侵入され、そこからソースコードやデータストアの一部にアクセスできるようになり、漏洩したということのようです。

基本的にテストカバレッジをはかる習慣というのは、よいものなので本件でそれをさまたげるようなことがあってはいけないですね。

自動テスト環境に侵入されたことで、ソースコードの履歴の中に2013年とかずいぶん昔のトランザクション履歴などがあり、顧客情報の漏洩になったということなんですが、このあたりをちゃんと調査して報告するのはいいですね。

十把一絡げに「漏洩したんだ〜」くらいじゃなくて、ちゃんとした報告には評価できるといいなと思います。

パスワードについてコメントされている方がいらっしゃいますが、ログ等からはデータベースは無事だったのではないでしょうか。
また推測ですがパスワードや個人情報の項目については暗号化してデータベースに保管しているため、流出しても正しいデータは把握されないでしょう。
たまに暗号化せずに保管しているデータベースはありますが、、、

流失案件が相次いでますね、、、

このサイト（haveibeenpwned.com）で
アドレスが流出してるかわかるので、心配な方はお試しを。

アドレス入れて、赤っぽい画面で『oh no』って出たら流失してます。
PCからだと、どのサイトから流失したのかわかります。

アドレス流失してたら、下記対応が良いかと。

①流失元の特定
②そのサイトのPW変更
③そのサイトと同じPW使ってるサイトのPWも変更