«Утечки» данных из публичных досок Trello

Была ли утечка данных в Trello – и как она произошла, а также как предотвратить такие «утечки» в будущем.

Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.

На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.

В чем причина «утечки» и что утекло

Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.

Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.

Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.

Как настроить Trello, чтобы информация не попала в общий доступ

Чтобы поисковые сервисы перестали индексировать данные из вашего рабочего пространства в Trello, нужно изменить всего две настройки: видимость рабочего пространства (что менее важно) и видимость каждой из досок (что важнее).

Для видимости рабочего пространства доступны два варианта — «приватная» и «публичная». Выбор очевиден.

Настройки видимости рабочего пространства Trello

С досками вариантов больше: «приватная» (доступ есть только у добавленных участников), «рабочее пространство» (доступ есть у всех участников этого рабочего пространства), «организация» (для бизнес-аккаунтов Trello: в этом случае доступ есть у всех сотрудников компании) и «публичная» (доступ есть у кого угодно). В современном интерфейсе Trello достаточно понятное описание возможных настроек видимости, и из него следует, что поисковым роботам доступны только публичные доски. То есть любой другой вариант позволил бы избежать произошедшей «утечки».

Настройки видимости досок

Однако мы придерживаемся мнения, что к рабочей информации должен иметь доступ минимальный набор сотрудников – так безопаснее. Поэтому в любом случае лучше использовать вариант «приватная». Да, это означает, что кто-то должен будет вручную контролировать список пользователей, которые имеют доступ к каждой из досок – это может показаться лишним трудом, но это же обеспечивает сохранность информации.

Как обеспечить безопасную совместную работу

Для того, чтобы данные с ваших рабочих досок в Trello не попадали в публичный доступ, достаточно настроить видимость каждой из них. Однако, кроме этого, следует помнить еще о нескольких важных вещах:

  • Тщательно контролируйте список сотрудников, которым доступно ваше рабочее пространство в Trello и каждая из досок. Не забывайте отзывать доступ у тех, кто увольняется или хотя бы перестает работать над конкретным проектом.
  • Объясняйте сотрудникам важность использования надежных паролей и рекомендуйте включать двухфакторную аутентификацию (в Trello есть такая опция).
  • Сотрудники, отвечающие в компании за информационную безопасность, должны знать, какие онлайновые инструменты используют все остальные сотрудники для совместной работы и какую информацию там хранят. Это необходимо для оценки рисков и построения модели угроз.
  • Помните, что любое средство для совместной работы может стать каналом распространения киберугроз (вредоносных файлов или ссылок). Поэтому на компьютере каждого сотрудника должно быть установлено надежное защитное решение.
Советы

Три «бытовые» атаки на Linux

Даже если вы об этом не знаете, у вас дома наверняка есть устройства с ОС Linux — и им тоже нужна защита! Вот три Linux-угрозы, о которых часто забывают даже профессионалы в IT.