> 設定ミスにより個人情報を晒していた

より適切に、

設定方法を知らなくて個人情報を晒していた

に米百俵。

「httpd のルート」というのは、 htdocs ディレクトリのことですか？

// httpd を chroot して動かしている、という話だったらいいなあ。
// でも違うでしょうね。

Web サーバが Apache httpd だと仮定して……。違ったら以下の話は全然関係ないかもしれません。

Apache のデフォルトの設定だと、 .ht で始まる名前のファイルは外部からアクセスできないようになっていると思います。

それと、一つのディレクトリの中の一部のファイルだけ外部からのアクセスを許可するという設定も、 httpd.conf や .htaccess を適切に記述すれば可能です。

そういう設定をして一つのディレクトリに放り込むのが素晴らしいとは思いませんが、管理者が Web 担当者に htdocs のアクセス許可しか与えなかったからといって、管理者が何もわかっていないように判断するのは少し短絡的ではないかと懸念します。

詳しい状況がわからないので、「短絡的だ」と言い切るつもりもありませんが。

> この第一発見者が「流出させた」って事じゃないんですか？

以前クレジットカード番号と有効期限も書いてあったりした
会員リストをレンタルサーバに660だったかで置いていた会社
がありました。そのリストの中には私の名前もあり、あるISP
の会員なら誰でもmountできるサーバからgetできる状況に
ありました。

FAXとメールで最低でもパーミッション変更してくれと数回
頼んだのですけどすべて無視されました。次にその会社の
掲示板に「リストが見えるのでなんとかしてくれ」という
ようなことを具体的なことには触れず書いたのですが、
デマ扱いされました。

IPAに頼んでも被害がなければとか言って動いてくれないので
マスコミさんに取材攻撃して貰おうと思ったら証拠が必要だと
言われたので公開されていたリストの一部を送りました。
私の情報まで公開されていたのですから当然どこかの掲示板
とかで騒いだりもせず、さっさと公開を停止してくれるのを
望んでいました。

マスコミさんが取材に行ってもそんな事実はないと否定して
ましたが、カード会社に取材に行って貰ったらすぐにその会社
が関係するカードをすべて停止にし、カード会社から抗議が
行ったそうです。

そこまで話が大きくなってから「ハッカーによって流出した
ものであって公開していた事実はない」とか開き直りました。
FAXとメールで報告を受けた事実もないとされました。

最終的にはサーバを管理していた会社に頼んでパーミッション
を変更してもらったんですが、それまでしっかり公開されて
ました。後から考えれば無視された時点でそうすればよかった
のですが、慌てていると簡単な解決策も見えないんですね。

そういう事例もあるのだから、多くの人の目に触れようが
触れまいが関係ないように感じます。

ということで私には「ハッキングにより＝自分のミス」
としか読めません。

# 恨まれているといけないので匿名で失礼。