Глава компании Red Meteors Кирилл Никулин обнаружил особенность приложения Trello, позволяющую находить коммерческую информацию, которую ее владельцы не планировали разглашать (а так же частную: персональные данные и пароли, которыми обменивались пользователи). Trello — это бесплатное веб-приложение для управления проектами, которое используется большим числом компаний в том числе и в России.
Суть в том, что публичные доски индексируются поисковиками, но так как некоторые пользователи не придают этому значения, то в открытый доступ попадают доски, которые следовало бы хранить в тайне. Заходим в Google, вводим в поисковую строку site:trello.com/b/ и смотрим. Можно даже поставить русский язык и увидеть кучу досок с информацией, которая потенциально представляет коммерческую тайну, — пишет Никулин.
Редакции «Роем!» удалось с помощью такого поиска обнаружить документацию к проектам компаний «Ростелеком», Acronis, МТС и других, правда никакой критичной для бизнеса секретной информации в первых попавшихся документах не оказалось. Однако заинтересовавшиеся возможностью интернет-пользователи рассказывают, что они смогли найти в Trello персональные данные россиян, пароли к различным сервисам, а также другую информацию, распространение которой может привести к негативным последствиям.
В течении дня часть компаний закрыла доступ к своим данным после того, как «уязвимость» стала всеобщим достоянием.
Доски Trello поддерживают настройки приватности. Публичные доски видят все у кого есть ссылка — такие доски и проиндексировали поисковики. «Командные» и «приватные» доски открыты только для членов команд или конкретных пользователей, добавленных администратором.
Добавить 2 комментария
— Алло, это анонимный телефон доверия ФСБ?
— Да, Дмитрий Петрович, быстро вы в Гугле нас нашли? Вижу, вам понравились новые приватные доски Trello?
А кто обещал, что публичные доски будут приватными?