У Trello открыт доступ к корпоративным «непубличным» доскам для всех желающих?

Глава компании Red Meteors Кирилл Никулин обнаружил особенность приложения Trello, позволяющую находить коммерческую информацию, которую ее владельцы не планировали разглашать (а так же частную: персональные данные и пароли, которыми обменивались пользователи). Trello — это бесплатное веб-приложение для управления проектами, которое используется большим числом компаний в том числе и в России.

Суть в том, что публичные доски индексируются поисковиками, но так как некоторые пользователи не придают этому значения, то в открытый доступ попадают доски, которые следовало бы хранить в тайне. Заходим в Google, вводим в поисковую строку site: trello.com/b/ и смотрим. Можно даже поставить русский язык и увидеть кучу досок с информацией, которая потенциально представляет коммерческую тайну, — пишет Никулин.

Screenshot_3

Редакции «Роем!» удалось с помощью такого поиска обнаружить документацию к проектам компаний «Ростелеком», Acronis, МТС и других, правда никакой критичной для бизнеса секретной информации в первых попавшихся документах не оказалось. Однако заинтересовавшиеся возможностью интернет-пользователи рассказывают, что они смогли найти в Trello персональные данные россиян, пароли к различным сервисам, а также другую информацию, распространение которой может привести к негативным последствиям.

В течении дня часть компаний закрыла доступ к своим данным после того, как «уязвимость» стала всеобщим достоянием.


Доски Trello поддерживают настройки приватности. Публичные доски видят все у кого есть ссылка — такие доски и проиндексировали поисковики. «Командные» и «приватные» доски открыты только для членов команд или конкретных пользователей, добавленных администратором.

видимость-досок

Добавить 2 комментария

  • Ответить
    Andy Pozz из якобы страдающих эльфизмом

    — Алло, это анонимный телефон доверия ФСБ?
    — Да, Дмитрий Петрович, быстро вы в Гугле нас нашли? Вижу, вам понравились новые приватные доски Trello?