Исследователи нашли несколько тысяч публичных досок Trello российских компаний с информацией о клиентах и сотрудниках Статьи редакции
Это произошло не из-за взлома, а из-за невнимательности или небрежности сотрудников компании.
Утечку обнаружили аналитики Infosecurity a Softline company, пишет «Коммерсантъ». В компании уточнили, что в России досками Trello пользуется в основном малый и средний бизнес, но встречаются и представители крупных организаций, в том числе банков.
В сеть попали данные клиентов и сотрудников нескольких сотен крупных и тысяч небольших российских компаний. По словам гендиректора Infosecurity Кирилла Солодовникова, эта ситуация — «иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании».
Организации размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учётные данные от корпоративных аккаунтов и пароли от различных сервисов, рассказали в Infosecurity. Сейчас по тематическим запросам в поисковиках находится более девяти тысяч досок с упоминаниями логинов и паролей, отметили в компании.
Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, утверждают эксперты. Злоумышленники могут использовать информацию, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов.
Trello принадлежит австралийскому разработчику программного обеспечения Atlassian, к подобным бесплатным сервисам также относятся Evernote, Wunderlist, XMind, Notion. По данным на октябрь 2019 года, число пользователей Trello превысило 50 млн.
А зачем доски делают открытые? Ведь функции «команды» и «по приглашению» имеются же.
Комментарий недоступен
Вообще челы из trello должны были разместить noindex на эти страницы, чтобы поисковики не индексировали эти страницы. Если не разместили, то это обсёр именно trello, а не каких-то сотрудников пострадавших компаний.
С чего бы это? А если я хочу чтобы моя публичная доска индексировалась?
Если не хочу — можно сделать её не публичной. Теоретически возможна функция «включение/отключение» индексации. Но в целом, если я делаю доску публичной, то подразумевается, что она доступна ВСЕМ.
Тогда бы это противоречило написанному в Трелло :-)
Почему закрывать? В западном сегменте полно публичных досок которые заведомо рекламируют, двигают. Как и гуглдоков. Даже мини-сайты делают на трелло и услуги пиарят. Просто в СНГ какая-то тотальная безалаберность в этом плане.
В русскоязычных трелло или гуглдоках вобьешь пароль - там на одной странице и почта и фб, вк, пароль к хостингу, инсте. Вся жизнь, короче.
И сверху же даже подсвечивается что инфа доступна публично.
Люди, что с вами не так??
Не должны. Тип доски пользователь выбирает при ее создании. И там явно написано, что её могут индексировать поисковые боты.
Нет. В trello публичная доска именно там и работает. Там даже НАПИСАНО что она кроулится ботами и видна всем в интернете. Эта фича так работает.
Так что это вообще не проблема сервиса в данном случае.
Поысните, кто в теме. Какая небрежность сотрудников могла привести к тому, что доски стали в открытом доступе? Они же не доступны всем подряд?
В статье речь идёт о досках которые создатели сделали публичными и которые доступны для индексации поисковыми системами.
А дальше идиоты начинают хранить на публичных досках пароли и конфиденциальную информацию, потому, что «мы в домике и вообще». 😂
Комментарий недоступен
доступ открывается по наличию ссылки, т.е. ручками получить сложно. но поисковики всё это парсят и выкладывают. был уже такой же случай с гугл докс
Для тех, кто в танке: большинство так называемых «утечек» связаны с небрежностью людей, которые делают доски публичными, и хранят в них доки, логины/пароли, клиентские данные и тп.
Когда сотрудники Infosecurity посмотрели видос кибердеда на ютубе))
Считаю статью неполной. Нужно дать ссылку на собранные в одном месте ссылки на несколько тысяч публичных досок. Также следует отметить среди них те, которые содержат логины, пароли и контакты.
Исследователи ?)
Может быть коды запуска ядерных ракет тоже будем в trello хранить
Комментарий удален модератором
Началось в колхозе утро
Комментарий удален модератором
Никогда такого не было и вот опять.
У Notion всё-же по-людски сделано. Там индексация публичной страницы — это фича, доступная только премиум пользователям.
Оно, конечно, глупость — держать приватную информацию на публичных досках, но и заботу о пользователе никто не отменял. Можно сказать «сам дурак» и получится как у Trello, а можно позаботиться о пользователе, как это сделал Notion. Уважуха им, хотя сам не пользуюсь ни тем, ни другим.
А просто хотят на этом заработать, а не из-за заботы о пользователях :)
Случайно по ФИО находил доску рабочую одного клиента. Там даже были доступы к их соц.сетям)
Вот о какой кибербезопасности можно говорить, когда люди даже банальные вещи игнорируют(( Как говорится, главная уязвимость любой системы это прокладка между стулом и монитором.
А в чём утечка-то, если кривые руки настраивают, а другие люди, которые работали уже с этой системой, не замечают? Опять же, аудит безопасности имеет смысл проводить раз в месяца три-полгода.
Утечка уровня «у нас тут трубы прорвало, но мы в шлёпки переобулись и двери полотенчиками подоткнули (но закрывать не стали, мало ли кто в гости зайдет) и всё норм было, а потом кто-то дверь открыл и такая утечка случилась!»
как важно в наше время обладать компьютерной грамотностью и понимать что такое безопасность данных, что такое доступы и как ограничивать их для определённого круга лиц... когда люди наконец начнут ответственно относиться не только к своим данным, но и чужим? вопрос конечно риторический.
Вот вам и всё бесплатно. Мне интересно, сколько теперь пользователей уйдет от Трелло?
Все, кто невнимательно читали и не догадаются сделать доски приватными.
А, ещё те, у кого менеджеры "некогда объяснять, в интернете написали, что трелло нельзя пользоваться, найдите что-то другое"
А причем здесь Трелло? Это не ошибка сервиса, а пользователей. Ты сам выбираешь тип твоей новой доски.
Тест на IQ не пройден.
Никогда такого не было и вот опять
Комментарий недоступен
Выпускники скиллбоксов вышли на работу. Поколение №1
Ждём волны №2 и №3
Где ссылки то?
Потому что надо следить за доступами и не открывать кому-попало, не давать доступы по ссылке, делов-то
Масалович еще неделю назад об этом видео снимал )
Это уже было.
Взяли и спалили тему
Ничего нового. На хабре есть подобная статья еще с 2018 года.
На этом же vc.ru ещё с 2017 года :)
Комментарий удален модератором
Комментарий удален модератором
Я парсил эти доски ещё в прошлом году, в некоторых реально топ инфа была, даже писал из создателям чтобы скрывали.
Комментарий удален модератором
Комментарий удален модератором
"Роскомнадзор проверит сервис Trello"
Жаль, хороший был сервис.