Trello ukazuje laxní přístup k bezpečnosti mnoha institucí

28. 6. 2018 v sekci Článek

Na online nástěnkách Trello se ale často objevují citlivá data a informace – ty jsou následně rychle oindexovány předními vyhledávacími enginy. V základním režimu je Trello v enterprise i personal verzi nastaveno tak, že je obsah tabulí zaheslovaný a pro jeho viditelnost je zapotřebí zadat patřičné heslo. Také lze nastavit režim „team-visible only“, což zaručuje, že mají k obsahu přístup jen vybraní členové týmu. Jenže uživatelé mohou manuálně sdílet tabule, na kterých se často nacházejí citlivá data. Tyto informace jsou pak katalogizovány internetovými vyhledávači a jsou tak přístupné prakticky každému, kdo má webový prohlížeč.

David Shear, analytik ze společnosti Flashpoint, se zabýval citlivými daty, která jsou „vystavena“ na Trellu a zdokumentoval stovky veřejných nástěnek, jejichž prostřednictvím sdíleli uživatelé například hesla a další interní informace. Podle Sheara je Trello oblíbeným nástrojem pro společnosti poskytující IT podporu – pracovníci prostřednictvím nástěnek a tabulek na Trellu nejenže sdílejí hesla, ale také citlivé údaje o zákaznících.

V rámci výzkumu Shear nalezl například sdílené boardy společnosti, která vyvíjí weby pro několik zubních ordinací. Na těchto nástěnkách byly informace o pacientech včetně jejich přihlašovacích údajů na stránky. Velkého prohřešku se dopustila také firma Seceon, která se paradoxně zaměřuje na detekci úniků dat v reálném čase; i její zaměstnanci prostřednictvím Trella sdíleli kritická data. Shearovi se podařilo najít také Trello board seniorního softwarového vývojáře z Red Hatu, který sdílel administrátorské přístupy na dva různé servery používané pro testování nových buildů. Pozadu nejsou ale ani další instituce – veřejně přístupná byla na Trellu také stránka HealthIT.gov – oficiálního webu National Coordinator for Health Information Technology, kde byly veřejně přístupné interní informace.

Díky uživatelské přívětivosti a přehlednosti se Trello stalo osobním zápisníkem managerů, marketérů či PR pracovníků. Ostatně jde o jeden z nejlepších nástrojů pro týmovou spolupráci. Je však důležité využívat ho s ohledem na stanovené bezpečnostní politiky, zásady a postupy.

Zdroj: Krebsonsecurity






Tento web používá cookies. Více informací ROZUMÍM