У Trello открыт доступ к корпоративным «непубличным» доскам для всех желающих?

Развитие событий: За пять лет не изменилось: Google продолжает индексировать доски в Trello, компании продолжают хранить там всё подряд (20 апреля 2021)

Глава компании Red Meteors Кирилл Никулин обнаружил особенность приложения Trello, позволяющую находить коммерческую информацию, которую ее владельцы не планировали разглашать (а так же частную: персональные данные и пароли, которыми обменивались пользователи). Trello — это бесплатное веб-приложение для управления проектами, которое используется большим числом компаний в том числе и в России.

Суть в том, что публичные доски индексируются поисковиками, но так как некоторые пользователи не придают этому значения, то в открытый доступ попадают доски, которые следовало бы хранить в тайне. Заходим в Google, вводим в поисковую строку site:trello.com/b/ и смотрим. Можно даже поставить русский язык и увидеть кучу досок с информацией, которая потенциально представляет коммерческую тайну, — пишет Никулин.

Screenshot_3

Редакции «Роем!» удалось с помощью такого поиска обнаружить документацию к проектам компаний «Ростелеком», Acronis, МТС и других, правда никакой критичной для бизнеса секретной информации в первых попавшихся документах не оказалось. Однако заинтересовавшиеся возможностью интернет-пользователи рассказывают, что они смогли найти в Trello персональные данные россиян, пароли к различным сервисам, а также другую информацию, распространение которой может привести к негативным последствиям.

В течении дня часть компаний закрыла доступ к своим данным после того, как «уязвимость» стала всеобщим достоянием.


Доски Trello поддерживают настройки приватности. Публичные доски видят все у кого есть ссылка — такие доски и проиндексировали поисковики. «Командные» и «приватные» доски открыты только для членов команд или конкретных пользователей, добавленных администратором.

видимость-досок

Добавить 2 комментария