В нашей с вами сфере никому бы этого не хотелось, поэтому рекомендую каждому уделить 15 минут на прочтение, да и простому пользователю нужно быть осведомлённым.
Сегодня расскажу о том, как неправильная настройка политик конфиденциальности привела к утечке десятков тысяч паролей от самых разных
сервисов, тысяч конфиденциальных документов и массивов персональных данных, в том числе сканов паспортов сотрудников и клиентов различных организаций.
Нашим сегодняшним героем становится онлайн-менеджер проектов Trello,
публичные доски задач которого индексируются поисковыми системами и
содержат просто невероятное количество конфиденциальной информации.
Классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени.
Пример из сопредельного государства.
В Trello есть 3 уровня конфиденциальности досок: приватная, командная и
публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от
доступных по ссылке видеороликов в YouTube, данные доски индексируются
поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть
до этого дело...
Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.
Давайте посмотрим, что нам выдаст google по запросу: пароль site:https://
trello.com/b/
На первом месте в поисковой выдаче нам попадается ныне закрытая доска "СММ
для Нины", на которой еще пару дней назад можно было найти логины и пароли от
всех страниц кипрского фотографа Нины Королевой, в частности, от страницы ****.com%2Fotkrovenno_nina%2F">Подробнее ➤
Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на
протяжение многих недель фигурировали на первых страницах поисковой выдачи
Google. Но Нина, вернее ее SMMщики - это лишь вершина айсберга. Банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.
Хотите пароли от Roblox? Пожалуйста.
Хотите пароли от инстаграма и прочих сервисов? Тысячи их!
Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на
этой доске назначают ответственного за составление списка секс-шопов для BDSM - гостиницы.
Анализ размещенного в Trello контента показывает, что значительная часть
публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек
информации? Конечно нет.
Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и
заканчивая разработкой.
Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков.
А вот расчет расходов на зарплату одного регионального медицинского центра:
На самом деле этот список можно продолжать бесконечно. Вы просто вводите в
поиске "site:https://trello.com/b/" и наслаждаетесь результатом.
В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций. Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников. Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем: начиная от банальных взломов корпоративных Instagram****-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.
Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у
регулирующих органов – хранение сканов паспортов клиентов в публичном
хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не
соотносится с положениями Федерального закона «О персональных данных».
Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании можно сделать и парсер (если он еще не существует).
Возможно мы пишем очевидные для наших читателей вещи, но практика
показывает, что очевидны они далеко не для всех. Ну а чтобы завершить наше
повествование в позитивном ключе, мы подготовили небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.
Начнем, пожалуй, с досок русских, вернее украинских невест, которые разводят
доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают
представление о том, как работает этот криминальный бизнес.
Куринная Анастасия и ее потенциальные жертвы
Trello действительно позволяет вывести командную работу на новый уровень-
теперь разводить несчастных женихов можно целым коллективом.
Сусана-Лилия, Карл!
Дерзенко Екатерина
Украинец Анна
Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку
вебкам-индустрии.
Задачи "купить доширак" и "починить швабру" здесь соседствуют с обучением
использованию страпона. Сугубо прагматичный подход.
Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру
внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов.
Но Trello - история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности
личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по
соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов
к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты
таких досок и вторгаться в частную жизнь.
Зато можем понаблюдать за чужими успехами, это же не зазорно?
Вот, например, Георгий из Казахстана, который поставил себе весьма нетривиальные задачи на 2021 год. Вернемся к этой странице через 12 месяцев (если Георгий ее не скроет от чужих глаз) и посмотрим, что из этого списка удалось реализовать. Лично мы болеем за мамину ипотеку.
К чему весь этот текст? Вы можете сколь угодно выставлять напоказ свою личную
жизнь, но когда вы используете публичный сервис, такой как Trello, в работе своей
организации, будьте любезны правильно настроить политики конфиденциальности, ведь от вас зависит безопасность всей компании. В качестве примеров мы привели самые безобидные вещи. В процессе анализа Trello нам попалось такое, что мы просто не рискуем публиковать, чтобы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.
Вот и думайте сами, решайте сами)
