Данные досок Trello тысяч российских компаний попали в открытый доступ / forpes.ru

Главная
Данные досок Trello тысяч российских компаний попали в открытый доступ

Данные досок Trello тысяч российских компаний попали в открытый доступ +13

20.04.2021 07:25

maybe_elf 19 9500 Источник

Корпоративная информация нескольких сотен крупных компаний и нескольких тысяч организаций поменьше оказалась в открытом доступе. Все эти данные были размещены на досках бесплатного онлайн-менеджера проектов Trello.

В настоящее время поисковики индексируют почти миллион публичных досок Trello. Около 9 тысяч из них содержат конфиденциальную информацию, в том числе, логины и пароли, говорят аналитики Infosecurity a Softline company. Соотнести данные не представляет труда, так как обычно название компании присутствует в имени доски, либо среди ее задач.

Сервисом Trello пользуются как малый и средний бизнес, так и банки. Гендиректор Infosecurity Кирилл Солодовников считает, что утечка стала результатом небрежности сотрудников компаний, работающих с сервисом.

Замруководителя центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков отмечает, что в открытом доступе оказались даже доски криминальных группировок, в том числе «русских невест».

В 2017 году уже происходил подобный инцидент. Тогда в открытый доступ попали данные «Ростелекома», Acronis и МТС. В 2018 году в публичном доступе оказались данные Uber.

Хакеры могут использовать опубликованную информацию, чтобы организовать атаки на клиентов компаний или взломать корпоративные Instagram-аккаунты. Однако тем, кто размещал на досках конфиденциальную информацию, например, паспортные данные, грозит еще и административное преследование по закону «О персональных данных».

Эксперты по кибербезопасности неоднократно советовали компаниям пользоваться платными онлайн-менеджерами проектов, либо не использовать в Trello конфиденциальную информацию. Несмотря на это, организации продолжают размещать на досках планирования личные и конфиденциальные данные.

Trello выпустили в 2011 году как бесплатное веб-приложение для управления проектами. С 2013 года сервис предоставляет платные услуги по freemium-модели. В 2017 году его купила компания Atlassian, разработчик таких программ, как Jira, Bitbucket и Confluence.

Недавно для Trello вышло крупное обновление. В приложении появилась функция предпросмотра контента со сторонних сервисов, возможность отслеживания работы над несколькими проектами и интерактивная карта.

Комментарии (19)

v1000
20.04.2021 10:35
#22944206
утечка стала результатом небрежности сотрудников компании
а как дела у других приложений?

Компания Atlassian, разработчик таких программ, как Jira, Bitbucket и Confluence, приобрела приложение в 2017 году за $425 млн.
1. EVolans
  20.04.2021 11:26
  #22944484
  Другие приолжения в отличии от трело можно self-hosted и в отличии от трело эти три между собой интегрируются как единое рабочее пространство. Поэтому кому нужна конфиденциальность об этом позаботились ранее.
  1. zgen
    20.04.2021 12:30
    #22944830
    С февраля закрыта продажа self-hosted версий jira, confluence и прочих
    
    Останется только супер-пупер ынтерпрайс за невменяемые деньги
    
    EVolans
    20.04.2021 14:48
    #22945632
    Оригинально, с учетом что еще и цены обещают поднять, плюс в облаке плагины по подписке идут.
    Хотя с учетом что они нормальную интеграцию не смоги сделать между своими продуктам видимо решили не заморачиваться.
    
    nikolayv81
    21.04.2021 08:15
    #22948352
    del. Enterprise то остался...

Like_fa
20.04.2021 10:45
#22944256
+1
Около 9 тысяч из них содержат конфиденциальную информацию, в том числе, логины и пароли...

Ну вероятно Трелло это не лучшее место для хранения личных, а уже тем более корпоративных доступов.
1. amarao
  20.04.2021 13:04
  #22944996
  +1
  Вы это пишите до утечки или после?
  
  Давайте обсудим утечку архива писем с gmail'а. Или корпоративных документов с office 365. (Если что, я это пишу из прошлого, когда утечки ещё не было или о ней не было публично известно).

OnYourLips
20.04.2021 10:47
#22944272
+1
Эксперты по кибербезопасности неоднократно советовали компаниям пользоваться платными онлайн-менеджерами проектов, либо не размещать в Trello конфиденциальную информацию.
А где связь? Какое-то объяснение? Бесплатное небезопасно? Пора выбрасывать свои сервера на дебиане?

cepera_ang
20.04.2021 10:50
#22944286
+4
"В интернет попали данные", "подобная утечка", "ааа, кибербезопасность". Давайте называть всё своими именами — данные никуда не утекали и не попадали, они были выплеснуты в открытый интернет бездумными пользователям, а вся утечка заключается в том, что оказывается можно погуглить "site:trello.com" и увидеть миллион результатов. Чтобы доска попала в открытый доступ нужно пойти и сознательно поставить галочку "публичная", это не происходит само по себе.

Давайте следующую новость, заголовок: "Эксперт по искусственному интеллекту: Данные десятков тысяч российских пользователей соцсети Хабрахабр попали в открытый доступ". Содержимое:

cepera_ang на страницах одного из самых посещаемых ресурсов рунета сообщил о том, что комментарии некоторых пользователей хабрахабра оказались в открытом доступе. Прямо под статьями эксперт увидел множество сообщений от ничего не подозревающих собеседников, которые переписывались друг с другом так, будто они там одни. В то же время Гугл индексирует эти страницы и любой может видет содержимое переписки. В утечку попали многочисленные сообщения людей на личные темы, жалобы на большие компании и просто неосторожные высказывания. Как сообщает Лаборатория Касперского, ежегодно происходит миллиард таких же утечек, но люди продолжают безрассудно пользоваться интернетом. А в Infosecurity поясняют, что в профилях пользователей содержатся их персональные данные, что может стать неожиданностью для многих.
1. zetroot
  20.04.2021 11:16
  #22944440
  Боже, это прекрасно. Скорее в новости!
1. Kwisatz
  20.04.2021 11:28
  #22944492
  Да тут в пору администрацию тегать) Шикарно
1. tmin10
  20.04.2021 11:51
  #22944598
  +1
  Ещё можно про публичные бакеты S3 рассказать. Что если пользователь поставил опцию публичности у объектов, их кто угодно может скачать по прямой ссылке!
1. RicoScrewdriver
  20.04.2021 12:07
  #22944680
  Все верно.
  
  Мало того, что новости больше года(линк), так еще и в саммих настройках борда написано, что если вы делаете его Public — он будет индексироваться гуглом.
  
  Картинка с настройками

negasus
20.04.2021 11:12
#22944412
А данные не российских кампаний не попадают в открытый доступ на Trello или как? При чем тут страна вообще?
1. daniilshat
  20.04.2021 11:58
  #22944628
  Думаю дело в том, что многие пользователи Хабра проживают в России и работают на местные компании и им интереснее узнать про потенциальный слив данных своего работодателя, а потом уже узнавать про мировые корпорации

turbozxs
20.04.2021 11:58
#22944626
Гендиректор infosecurity Кирилл Солодовников считает...
Почему infisecurity с маленькой буквы, если это название компании?

что утечка стала результатом небрежности сотрудников компании
Какой именно компании? Infosecurity?)

Ну и да, выше коллеги уже откомментили, что это не совсем корректно называть утечкой

igossmart
20.04.2021 12:30
#22944832
Интересно, прям как раз после этого видео ))
https://youtu.be/eLmyDlhlxk0

AlePil
20.04.2021 13:25
#22945132
Извините, а где новость? То, что публичные доски легко гуглятся, известно давно как бы.
1. cepera_ang
  20.04.2021 14:37
  #22945582
  Ну вот, а Юлия Степанова из Коммерсанта узнала об этом вчера, а так как она журналист на зарплате и ей нужно выполнять план, то она написала в телеграм парочке знакомых из компаний занимающихся безопасностью (или просто нашла их высказывания в прошлом), собрала из этого статейку на 500 слов и тиснула в тираж. А потом другой журналист на зарплате (настолько скромный, что у него даже имя не указано в профиле) прочитал новость, которую он не понимает, но она была по его теме и ему тоже нужно выполнять план, быстренько переписал её своими словами, соблюдая все правила журналистского приличия и тиснул аудитории, которая уже давно потеряла надежду на появление качественных материалов тут :)