Исследователи нашли несколько тысяч публичных досок Trello российских компаний с информацией о клиентах и сотрудниках Статьи редакции
Это произошло не из-за взлома, а из-за невнимательности или небрежности сотрудников компании.
Утечку обнаружили аналитики Infosecurity a Softline company, пишет «Коммерсантъ». В компании уточнили, что в России досками Trello пользуется в основном малый и средний бизнес, но встречаются и представители крупных организаций, в том числе банков.
В сеть попали данные клиентов и сотрудников нескольких сотен крупных и тысяч небольших российских компаний. По словам гендиректора Infosecurity Кирилла Солодовникова, эта ситуация — «иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании».
Организации размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учётные данные от корпоративных аккаунтов и пароли от различных сервисов, рассказали в Infosecurity. Сейчас по тематическим запросам в поисковиках находится более девяти тысяч досок с упоминаниями логинов и паролей, отметили в компании.
Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, утверждают эксперты. Злоумышленники могут использовать информацию, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов.
Trello принадлежит австралийскому разработчику программного обеспечения Atlassian, к подобным бесплатным сервисам также относятся Evernote, Wunderlist, XMind, Notion. По данным на октябрь 2019 года, число пользователей Trello превысило 50 млн.
А в чём утечка-то, если кривые руки настраивают, а другие люди, которые работали уже с этой системой, не замечают? Опять же, аудит безопасности имеет смысл проводить раз в месяца три-полгода.
Утечка уровня «у нас тут трубы прорвало, но мы в шлёпки переобулись и двери полотенчиками подоткнули (но закрывать не стали, мало ли кто в гости зайдет) и всё норм было, а потом кто-то дверь открыл и такая утечка случилась!»
Это утечка уровня проектирования системы. Я не буду говорить, что у нас некоторые программисты, имеющие уровень пользователя администратор, самостоятельно создавали публичные репозитории. Хорошо, что аудит проводится и это выявил.