Что и как утекло из публичных досок в Trello | Блог Касперского | DevsDay.ru

IT-блоги Что и как утекло из публичных досок в Trello | Блог Касперского


Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.

На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.

В чем причина «утечки» и что утекло

Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.

Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.

Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.

Как настроить Trello, чтобы информация не попала в общий доступ

Чтобы поисковые сервисы перестали индексировать данные из вашего рабочего пространства в Trello, нужно изменить всего две настройки: видимость рабочего пространства (что менее важно) и видимость каждой из досок (что важнее).

Для видимости рабочего пространства доступны два варианта — «приватная» и «публичная». Выбор очевиден.

Настройки видимости рабочего пространства Trello

С досками вариантов больше: «приватная» (доступ есть только у добавленных участников), «рабочее пространство» (доступ есть у всех участников этого рабочего пространства), «организация» (для бизнес-аккаунтов Trello: в этом случае доступ есть у всех сотрудников компании) и «публичная» (доступ есть у кого угодно). В современном интерфейсе Trello достаточно понятное описание возможных настроек видимости, и из него следует, что поисковым роботам доступны только публичные доски. То есть любой другой вариант позволил бы избежать произошедшей «утечки».

Настройки видимости досок

Однако мы придерживаемся мнения, что к рабочей информации должен иметь доступ минимальный набор сотрудников – так безопаснее. Поэтому в любом случае лучше использовать вариант «приватная». Да, это означает, что кто-то должен будет вручную контролировать список пользователей, которые имеют доступ к каждой из досок – это может показаться лишним трудом, но это же обеспечивает сохранность информации.

Как обеспечить безопасную совместную работу

Для того, чтобы данные с ваших рабочих досок в Trello не попадали в публичный доступ, достаточно настроить видимость каждой из них. Однако, кроме этого, следует помнить еще о нескольких важных вещах:

  • Тщательно контролируйте список сотрудников, которым доступно ваше рабочее пространство в Trello и каждая из досок. Не забывайте отзывать доступ у тех, кто увольняется или хотя бы перестает работать над конкретным проектом.
  • Объясняйте сотрудникам важность использования надежных паролей и рекомендуйте включать двухфакторную аутентификацию (в Trello есть такая опция).
  • Сотрудники, отвечающие в компании за информационную безопасность, должны знать, какие онлайновые инструменты используют все остальные сотрудники для совместной работы и какую информацию там хранят. Это необходимо для оценки рисков и построения модели угроз.
  • Помните, что любое средство для совместной работы может стать каналом распространения киберугроз (вредоносных файлов или ссылок). Поэтому на компьютере каждого сотрудника должно быть установлено надежное защитное решение.

Источник: Блог Касперского

Наш сайт является информационным посредником. Сообщить о нарушении авторских прав.

SMB Бизнес Trello совместная работа утечки

Читайте также


Фишинговая атака на пользователей Office 365 через Google Docs

Фишинговые уловки злоумышленников, охотящихся на пользователей Office 365 через презентации в Google Docs... читать далее
SMB Бизнес Google Docs Microsoft Office 365 почта фишинг

Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice

DevOps OpenNET 4 мая 2021 г. 23:16
После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS...... читать далее

DevOps OpenNET 28 апреля 2021 г. 15:20

Доступен релиз дистрибутива Calculate Linux 21, развиваемого русскоязычным сообществом, построенного на основе Gentoo Linux, поддерживающего непрерывный цикл выпуска обновлений и оптимизированного для быстрого развёртывания в корпоративной среде. В н...... читать далее

Разработка AWS News Blog 27 апреля 2021 г. 20:24

As traditional workloads continue to migrate to the cloud, some customers have been unable to take advantage of cloud-native services to host data typically held on their on-premises file servers. For example, data commonly used for team and project...... читать далее

Amazon FSx for Windows AWS Storage Gateway Launch News

DevOps OpenNET 26 апреля 2021 г. 7:46

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.12. Среди наиболее заметных изменений: поддержка зонированных блочных устройств в Btrfs, возможность маппинга идентификаторов пользователей для ФС, чистка устаревших ARM-архи...... читать далее

DevOps linuxhint.com 23 апреля 2021 г. 14:58

There’re times that you need to figure out the exact number of files available under a specific directory. However, there would be problems if the directory contains one or more sub-directories. This guide will help you learn how how to count files i...... читать далее

File Management

Безопасность Блог Касперского 22 апреля 2021 г. 14:06

При помощи фишинга злоумышленники выманивают учетные данные от Microsoft Office. Разбираем, на что обращать внимание.... читать далее

SMB Бизнес фишинг электронная почта

Популярные темы

новости (399) ux (374) design (342) javascript (303) headline (293) python (271) devops (237) ubuntu (225) ux-design (224) security (207) новость (204) web dev (195) tutorial (189) programming (164) working in tech (152) seo (151) дайджесты вакансий от new.hr (150) статьи (138) ui (134) testing roundup (122) software testing (119) user-experience (114) java (104) дизайн (102) google (99) product-design (94) css (91) игровые проекты (90) webdev (89) ui-design (86) design-thinking (85) technology (82) прочее (80) react (80) primary (79) движки и конструкторы игр (76) api5 (76) технологии (76) php (75) job hunting (74) бизнес (71) windows 10 (71) cloud (70) uncategorized (68) laravel (68) bash programming (68) hardware (67) debian (67) tutorials (65) android (64) productivity (64) docker (63) мероприятия (59) linux mint (59) news (57) обучение (57) работа (55) art (54) machine learning (53) games (53) ios (53) kubernetes (52) español (51) networking (51) web design and applications (50) case-study (50) covid-19 (50) инструкции (50) angular (50) data (49) обзоры (48) ux-research (48) chrome (48) apple (48) турбо-страницы (47) разработчики (47) inspiration (47) beginners (46) engineering (46) publication (45) home page stories (45) job skills (45) web (45) linux (44) api (44) cybersecurity (44) навыки алисы (43) c++ (43) powershell (43) aws (43) mysql mariadb (41) kali linux (40) typescript (40) mobile (40) автоматизация (39) google ads (39) windows (39) centos (39) virtual reality (39) marketing (39)