Trello esposto! La ricerca espone un enorme tesoro di dati privati

È stato scoperto che Trello, un popolare sito Web di gestione delle attività online che organizza elenchi di cose da fare e coordina le attività del team, espone al pubblico una grande quantità di dati privati. secondo un rapporto di Naked Security.

Mentre l’impostazione predefinita per le bacheche Trello è impostata su “privato”, più utenti la modificano in “pubblico”, il che significa che chiunque può visualizzare il contenuto pubblicato lì.

Quando una bacheca Trello diventa pubblica, un motore di ricerca come Google è efficiente nell’includere il contenuto di quella bacheca nel suo indice. Ciò significa che chiunque abbia un browser potrebbe, in teoria, visualizzare i dati, che includevano nomi di società, indirizzi, valutazioni delle prestazioni e video di formazione, semplicemente utilizzando un tipo di ricerca specializzato chiamato “idiota”.

Craig Jones, direttore delle operazioni di sicurezza informatica globale di Sophos, tiene d’occhio il consiglio pubblico di Trello da un paio d’anni. In effetti, aveva twittato per la prima volta su questo nel 2018.

Una delle peggiori bacheche Trello che ho incontrato, una bacheca Trello per l’inserimento delle risorse umane, è stata ora segnalata e rimossa. Avevo così tante informazioni personali che ho quasi finito tutto … #Le password #infosec pic.twitter.com/ZK3fpeKNpH

– Craig Jones (@albanwr) 17 aprile 2018

Tuttavia, la recente violazione dei dati degli uffici arredati e del fornitore di co-workspace Regus tramite una riunione pubblica di Trello ha spinto Craig a indagare ulteriormente.

Nell’inchiesta, ha scoperto che un consiglio della società immobiliare che ha spiegato le correzioni in ogni alloggio, comprese le serrature delle porte rotte:

Craig ha anche notato una riunione del personale che sembrava essere una sorta di società di servizi, inclusi nomi, date di nascita, e-mail, numeri di identificazione, informazioni sul conto bancario e altro:

Andando avanti, ha anche trovato un consiglio delle risorse umane che descrive un’offerta di lavoro specifica per qualcuno, incluso lo stipendio, i bonus e gli obblighi contrattuali:

Oltre a quanto sopra, ha anche scoperto una dashboard relativa a un pub australiano che conteneva informazioni come grandi quantità di Gmail e password dei social media, password e credenziali appartenenti a un nome familiare IT globale, chiavi API, frode dei clienti.

Craig ha contattato le aziende per informarle che i loro dati sono accessibili e disponibili al pubblico. Molti di loro hanno già rimosso i tavoli.

Secondo Craig, la maggior parte delle volte quando vengono creati e resi pubblici forum sensibili, vengono dimenticati per lo più per tornare privati. Pertanto, ritiene che sia responsabilità dell’utente garantire che i propri dati siano mantenuti privati. Inoltre, vuoi che i motori di ricerca come Google e altri smettano di indicizzare le bacheche.

Per me, i vantaggi dell’indicizzazione delle dashboard di Trello sono di gran lunga superati dal rischio di consentire inavvertitamente l’accesso ai dati esposti. Sebbene dovremmo tutti assumerci la responsabilità di mantenere private le nostre bacheche Trello, mi piacerebbe che Google e altri smettessero di indicizzarle in primo luogo.

Cosa puoi fare per stare al sicuro? Coloro che sono utenti Trello dovrebbero controllare lo stato delle loro bacheche e impostare tutto ciò che contiene dati sensibili su “privato”.

Se sei a conoscenza di dati esposti, possibilmente relativi a te o a un’azienda per cui hai lavorato, ci sono due opzioni per rimuoverli.

La prima opzione è contattare l’amministratore che ha configurato la dashboard. La seconda opzione è contatta Trello e chiedi alla bacheca di modificare l’impostazione in “privato”.

È importante notare che anche dopo aver seguito le due opzioni precedenti, il contenuto rimane memorizzato nella cache nei motori di ricerca per un po ‘di tempo. Pertanto, devi anche chiedere a Google di rimuovere il contenuto dalla ricerca o di inviare una richiesta di svuotamento della cache (che farà sì che Google lo reindicizzi e, si spera, riceva un 404 da Trello).

https://www.techworm.net Un individuo, ottimista, casalingo, appassionato di cibo, fanatico del cricket e, soprattutto, uno che crede nell’essere umano.



Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *