¿Quién ha utilizado la cada vez más popular plataforma de colaboración en línea Trello?
Trello es ideal para organizar listas de tareas y para coordinar tareas de equipo.
Pero también tiene sus desventajas. Si bien el valor predeterminado para los tableros de Trello está configurado como 'privado', muchos usuarios los configuran como 'público', lo que significa que cualquiera puede ver lo que se publica allí.
No solo eso, los motores de búsqueda como Google indexan los tableros públicos de Trello, lo que hace que sea fácil para cualquiera descubrir el contenido de los tableros utilizando un tipo especializado de búsqueda llamado 'dork'.
Y es sorprendente la cantidad de datos confidenciales que hay.
Nuestro director de operaciones de ciberseguridad global en Sophos, Craig Jones , ha estado atento a esto durante un par de años, tuiteando por primera vez en 2018.
Cuando la semana pasada se supo la noticia de que la compañía de espacio de oficinas Regus exponía las calificaciones de rendimiento de cientos de su personal a través de una junta pública de Trello, Craig pensó que volvería a analizar lo que hay ahí fuera.
Craig, un usuario entusiasta de Trello, descubrió rápidamente una gran cantidad de datos altamente confidenciales que se rociaron con un número considerable de tableros públicos de Trello.
Encontró un tablero de una empresa de vivienda que detalla las soluciones necesarias en cada alojamiento, incluidas las cerraduras de las puertas rotas:
Craig también descubrió una junta de personal para lo que parece ser una especie de compañía de instalaciones que enumeraba nombres, correos electrónicos, fechas de nacimiento, números de identificación, información de cuenta bancaria y más:
Y luego hay una junta de Recursos Humanos que detalla una oferta de trabajo específica para alguien, incluyendo su salario, bonificación y obligaciones contractuales:
Hay más.
Encontró un tablero relacionado con un pub australiano que incluía detalles de fraudes de clientes, grandes cantidades de contraseñas de gmail y redes sociales, y claves API, contraseñas y credenciales pertenecientes a un nombre global de TI.
Craig se ha puesto en contacto con las empresas que ha podido, para informarles que sus datos son de acceso público. Muchos ya han retirado las tablas.
¿Por qué las personas ponen tableros sensibles de manera pública?
Uno asumiría, en la mayoría de los casos, que esto no es deliberado. El diseño de Trello ha cambiado con los años, por lo que podría estar relacionado en parte con un problema pasado. También es posible que algunos sean hechos públicos por un individuo por una razón legítima, cuyas implicaciones de seguridad se pierden con otros usuarios del mismo tablero.
Algunos tableros se crean, se hacen públicos y eventualmente se olvidan (aunque no Google). Es la última versión de todo el problema de TI en la sombra, donde las personas usan herramientas que no entienden completamente cómo usar de forma segura.
¿De quién es la culpa?
Claro, los usuarios deben tener cierta responsabilidad sobre mantener sus datos privados. Pero Craig también cree que los motores de búsqueda no están ayudando aquí.
Para mí, cualquier beneficio en la indexación de tableros de Trello se ve superado por el riesgo de hacer posible acceder a datos expuestos inadvertidamente. Si bien todos deberíamos asumir la responsabilidad de mantener nuestras tablas de Trello privadas, me encantaría ver a Google y a otros detener su indexación en primer lugar.
Qué hacer
Si es un usuario de Trello, vaya y verifique el estado de sus tableros y configure todo lo que contenga datos confidenciales como "privado".
Si conoce algún dato expuesto, tal vez datos relacionados con usted o una empresa en la que ha trabajado, hay dos vías para eliminarlo.
Una es contactar al administrador que creó el tablero. En muchos casos, eso no será posible, por lo que una segunda opción es contactar a Trello y pedirle que la junta se haga privada.
Pero incluso después de hacer eso, el contenido permanece en caché en los motores de búsqueda durante un período de tiempo, por lo que también es necesario pedirle a Google que elimine el contenido de la búsqueda o enviar una solicitud de descarga de caché (lo que hará que Google vuelva a indexarlo, espero recibir un 404 de Trello).
Fuente: Naked Security
0 Comentarios