утечки

«Утечки» данных из публичных досок Trello

Была ли утечка данных в Trello – и как она произошла, а также как предотвратить такие «утечки» в будущем.

Nikolay Pankov
20 апреля 2021

Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.

На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.

В чем причина «утечки» и что утекло

Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.

Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.

Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.

Как настроить Trello, чтобы информация не попала в общий доступ

Чтобы поисковые сервисы перестали индексировать данные из вашего рабочего пространства в Trello, нужно изменить всего две настройки: видимость рабочего пространства (что менее важно) и видимость каждой из досок (что важнее).

Для видимости рабочего пространства доступны два варианта — «приватная» и «публичная». Выбор очевиден.

С досками вариантов больше: «приватная» (доступ есть только у добавленных участников), «рабочее пространство» (доступ есть у всех участников этого рабочего пространства), «организация» (для бизнес-аккаунтов Trello: в этом случае доступ есть у всех сотрудников компании) и «публичная» (доступ есть у кого угодно). В современном интерфейсе Trello достаточно понятное описание возможных настроек видимости, и из него следует, что поисковым роботам доступны только публичные доски. То есть любой другой вариант позволил бы избежать произошедшей «утечки».

Однако мы придерживаемся мнения, что к рабочей информации должен иметь доступ минимальный набор сотрудников – так безопаснее. Поэтому в любом случае лучше использовать вариант «приватная». Да, это означает, что кто-то должен будет вручную контролировать список пользователей, которые имеют доступ к каждой из досок – это может показаться лишним трудом, но это же обеспечивает сохранность информации.

Как обеспечить безопасную совместную работу

Для того, чтобы данные с ваших рабочих досок в Trello не попадали в публичный доступ, достаточно настроить видимость каждой из них. Однако, кроме этого, следует помнить еще о нескольких важных вещах:

Тщательно контролируйте список сотрудников, которым доступно ваше рабочее пространство в Trello и каждая из досок. Не забывайте отзывать доступ у тех, кто увольняется или хотя бы перестает работать над конкретным проектом.
Объясняйте сотрудникам важность использования надежных паролей и рекомендуйте включать двухфакторную аутентификацию (в Trello есть такая опция).
Сотрудники, отвечающие в компании за информационную безопасность, должны знать, какие онлайновые инструменты используют все остальные сотрудники для совместной работы и какую информацию там хранят. Это необходимо для оценки рисков и построения модели угроз.
Помните, что любое средство для совместной работы может стать каналом распространения киберугроз (вредоносных файлов или ссылок). Поэтому на компьютере каждого сотрудника должно быть установлено надежное защитное решение.

Невеселая ферма: как разводят покупателей майнингового оборудования

Мошенники заманивают жертв на копию сайта производителя дефицитной криптофермы и разводят их на солидную сумму в биткойнах.

Безопасность детей и защита приватности

«Утечки» данных из публичных досок Trello

В чем причина «утечки» и что утекло

Как настроить Trello, чтобы информация не попала в общий доступ

Как обеспечить безопасную совместную работу

RockYou2024 и еще четыре самых крупных утечки данных в истории

Dropbox предупреждает о взломе Dropbox Sign

Невеселая ферма: как разводят покупателей майнингового оборудования

Советы

Мошенничество с ботом «Почты России» в Telegram

Приоритеты CISO в 2025 году

Как защитить переписку и аккаунт в мессенджерах

Меры безопасности при обработке архивных файлов в организации

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия