Исследователи нашли несколько тысяч публичных досок Trello российских компаний с информацией о клиентах и сотрудниках Статьи редакции
Это произошло не из-за взлома, а из-за невнимательности или небрежности сотрудников компании.
Утечку обнаружили аналитики Infosecurity a Softline company, пишет «Коммерсантъ». В компании уточнили, что в России досками Trello пользуется в основном малый и средний бизнес, но встречаются и представители крупных организаций, в том числе банков.
В сеть попали данные клиентов и сотрудников нескольких сотен крупных и тысяч небольших российских компаний. По словам гендиректора Infosecurity Кирилла Солодовникова, эта ситуация — «иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании».
Организации размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учётные данные от корпоративных аккаунтов и пароли от различных сервисов, рассказали в Infosecurity. Сейчас по тематическим запросам в поисковиках находится более девяти тысяч досок с упоминаниями логинов и паролей, отметили в компании.
Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, утверждают эксперты. Злоумышленники могут использовать информацию, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов.
Trello принадлежит австралийскому разработчику программного обеспечения Atlassian, к подобным бесплатным сервисам также относятся Evernote, Wunderlist, XMind, Notion. По данным на октябрь 2019 года, число пользователей Trello превысило 50 млн.
Вообще челы из trello должны были разместить noindex на эти страницы, чтобы поисковики не индексировали эти страницы. Если не разместили, то это обсёр именно trello, а не каких-то сотрудников пострадавших компаний.
С чего бы это? А если я хочу чтобы моя публичная доска индексировалась?
Если не хочу — можно сделать её не публичной. Теоретически возможна функция «включение/отключение» индексации. Но в целом, если я делаю доску публичной, то подразумевается, что она доступна ВСЕМ.
Людям свойственно придумывать проблемы, которых не существует.
Публичной эти вещи делают, чтобы скинуть их 50-и летнему директосу завода, которому живот мешает зарегистрировать себе аккаунт. Это юзкейс этих вещей в 49.9 процентах случаев, в 49.9 процентах это делают, чтобы поделиться с толпой на каком-нибудь вебинаре.
Почти всегда функционал "публичных" ссылок подразумевает шаринг с ограниченным количеством людей.
Те же быстрые ссылки на яндекс и гугл диске. К примеру, фотограф делает паблик линки каждый день, вообще нихера не понимает в этих своих интернетах, и понятия не имеет, что робот может сходить по этим ссылкам. Если бы эти ссылки индексировались, то фотограф высрал бы наружу миллион приватного контента.
Закрытие публичных ссылок от индексации - это базис для таких сервисов.
Не надо называть своё мнение «базис» и «всем очевидно по-умолчанию». Это просто 2 разных подхода:
1. Считаем пользователей инфантильными дебилами за которыми надо сопли и попу подтирать. И берём на себя ответственность за их факапы.
2. Считаем пользователей самостоятельными разумными людьми, которые сами способны решить, что им в паблик выкладывать, а что нет.
Утверждение, что только первый вариант возможен — некорректен.
корректный вариант - помочь пользователям не профакапиться. то есть делаем ноиндекс, и когда и если ему вдруг надо, то он просто ставит галочку напротив разрешить индексировать поисковикам. Это же уже примерно миллион лет как придумали.
Да, я понимаю, что поисковик все равно может проиндексировать, но это уже вопрос этичного поведения поисковика, а не попустительства такого рода конфузам.
Это дополнительная функция. Её делать надо, ещё вопрос перегруженного интерфейса.
Я никакую позицию не защищаю, просто напоминаю, что их две, а не одна.
там ниже есть скриншот интерфейса настройки степени приватности - нет никакой проблемы добавить туда еще один уровень - публичный С ПРОСЬБОЙ не индексировать поисковиками.
Вы смещаете акцент с отношения к пользователям — инфантилы/самостоятельные, на технический аспект — «ща мы функциями сделаем всем хорошо».
Это плохой и неправильный путь, я любитель всяких сервисов по управлению проектами и перепробовал практически всё до чего ручонки дотянулись — 80% неудобны из-за перегруженного интерфейса, лишних функций и переусложнения. Поэтому когда говорят «да давайте просто добавим...» это повод неиллюзорно напрягаться.
это очень хороший путь по сравнению rm / -rf без подтверждения. каждому инструменту свое место. и компания должна думать о тех, кто пользуется инструментом.
Любителям неперегруженных интерфейсов настроек я бы дал возможность править конфиги прямо в файле конфигурации. Это true way для бескомпромиссного юзера, который готов брать полную ответсвеность за все свои действия, даже в том случае, если он чего-то и недопонимает.
А пользователи трелло очень часто что-то недопонимают. С этим и связан текущий топик. И то что их накажут или научат не значит что завтра туда не придет миллион новых пользователей и не сделает точно так же. Поэтому проблему нужно решать. No-index неплохо позволяет снизить градус проблемы, а значит, имеет смысл воспользоваться хотя бы им.
Но еще лучше было бы добавить публичный доступ по паролю. даже простой пароль "1", поставленный пользователем защитит от индексации еще более надежно чем ноиндекс, и директор не обидится, ему будет ткнув на ссылку нетродно набрать эту самую "1".
Недопонимают то, что им написали прямым текстом.
Кстати, про недопонимание — вот тут я описал пример совершенно незадокументированной функции Google, так пользователи VC дружно сошлись во мнении «сам дурак», а тут везде написано и «пользователь не виноват».
Ну да ладно. Не будем больше спорить, всем всё понятно, вроде. 😊
Вот интуитивно всегда не доверял гугл диску. Теперь прямо вот чувствую гордость что интуиция меня не подвела.
Я разобрался в механизме работы и продолжил пользоваться. Альтернатив то особо нет. Диску альтернатив полно, а вот документы фактически эксклюзивны.
спроси у гугла, почему все фотографии телефона, с разных папок,
в облако идут одним смешанным безпорядочным месивом без структуры))
" чем больше багов у программистов,
тем больше работы у программистов,
тем больше зарплата для программистов "
(с) о великий Гугол
Ну там не должно быть ничего критичного.
Критичного там и нет, просто родной синхронизатор Google не синхронизирует документы Google (остальные синхронизирует), вместо них создавая ярлыки, которые внешне похожи на файлы. И нигде про это не предупреждают.
Ох уж эта статистика из головы. Если лично вы видели трелло только в рабочих процессах это не значит, что его только так и используют. Зачастую разработчики используют его как баг-трекеры и фича-трекеры — им полезна индексация, юзер может загуглить свою проблему или предложение. Лайфстайл-блоггеры часто используют трелло как доски идей, списки «что мне понравилось», «мои любимые блокноты» и так далее, и им тоже полезно чтобы всё индексировалось. Более того — трелло активно рассказывает, что им можно вот так вот пользоваться.
а что может помешать в этом случае более грамотному техническом разработчику включить заранее выключенную функцию индексации? Почему из-за потребности грамотных специалистов должны страдать неграмотные менеджеры?
Ему может помешать здравый смысл. Если у вас приватная инфа на публичной странице, пусть и без индексации — никто и никогда не может гарантировать, кому в руки попадёт ваша ссылка. Если приватность не нужна — индексация не помешает. Если нужна приватность — надо ограничивать доступ, end of story. Да, это чуть менее удобно чем нажать одну кнопку и думать что всё стало приватно (когда это не так), но жизнь вообще штука сложная.
вы считаете, что не закрыть дверь уходя из дома и оповестить об этом весь город это одно и то же, когда говорите о том что "Если приватность не нужна — индексация не помешает"? Тут выше в защиту отрытой индексации есть только примеры только когда она нужна, а когда не помешает нет ни одного. А если она нужна - в чем проблема ее включить?
Именно так.
На мой взгляд, шансы что вас обкрадут во втором случае существенно выше.
Но раз вы рассматриваете только возможность инцидента и напрочь игнорируете вероятность инцидента, то видимо разговаривать не о чем особо.
хорошо что вы написали про ссылку
доступ по ссылке должен быть, это и есть стандарт заданный гугл доками и использующийся сотнями других провайдеров. нет ни одной вменяемой причины индексировать все доски которые в открытом доступе
Комментарий недоступен
Для таких кейсов в нормальных сервисах делают доступ по ссылке, а не расшаривают на весь интернет