«Утечки» данных из публичных досок Trello

Была ли утечка данных в Trello – и как она произошла, а также как предотвратить такие «утечки» в будущем.

Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.

На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.

В чем причина «утечки» и что утекло

Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.

Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.

Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.

Как настроить Trello, чтобы информация не попала в общий доступ

Чтобы поисковые сервисы перестали индексировать данные из вашего рабочего пространства в Trello, нужно изменить всего две настройки: видимость рабочего пространства (что менее важно) и видимость каждой из досок (что важнее).

Для видимости рабочего пространства доступны два варианта — «приватная» и «публичная». Выбор очевиден.

Настройки видимости рабочего пространства Trello

С досками вариантов больше: «приватная» (доступ есть только у добавленных участников), «рабочее пространство» (доступ есть у всех участников этого рабочего пространства), «организация» (для бизнес-аккаунтов Trello: в этом случае доступ есть у всех сотрудников компании) и «публичная» (доступ есть у кого угодно). В современном интерфейсе Trello достаточно понятное описание возможных настроек видимости, и из него следует, что поисковым роботам доступны только публичные доски. То есть любой другой вариант позволил бы избежать произошедшей «утечки».

Настройки видимости досок

Однако мы придерживаемся мнения, что к рабочей информации должен иметь доступ минимальный набор сотрудников – так безопаснее. Поэтому в любом случае лучше использовать вариант «приватная». Да, это означает, что кто-то должен будет вручную контролировать список пользователей, которые имеют доступ к каждой из досок – это может показаться лишним трудом, но это же обеспечивает сохранность информации.

Как обеспечить безопасную совместную работу

Для того, чтобы данные с ваших рабочих досок в Trello не попадали в публичный доступ, достаточно настроить видимость каждой из них. Однако, кроме этого, следует помнить еще о нескольких важных вещах:

  • Тщательно контролируйте список сотрудников, которым доступно ваше рабочее пространство в Trello и каждая из досок. Не забывайте отзывать доступ у тех, кто увольняется или хотя бы перестает работать над конкретным проектом.
  • Объясняйте сотрудникам важность использования надежных паролей и рекомендуйте включать двухфакторную аутентификацию (в Trello есть такая опция).
  • Сотрудники, отвечающие в компании за информационную безопасность, должны знать, какие онлайновые инструменты используют все остальные сотрудники для совместной работы и какую информацию там хранят. Это необходимо для оценки рисков и построения модели угроз.
  • Помните, что любое средство для совместной работы может стать каналом распространения киберугроз (вредоносных файлов или ссылок). Поэтому на компьютере каждого сотрудника должно быть установлено надежное защитное решение.
Советы

BloodyStealer: охота на геймеров

Аккаунты геймеров пользуются спросом на черном рынке, и BloodyStealer, крадущий данные аккаунтов в популярных игровых магазинах, — яркий тому пример.