Brytyjskie i kanadyjskie urzędy w Trello przechowywały hasła i poufne dokumenty

Fot. Trello
Analityk bezpieczeństwa, Kushagra Pathak, znalazł za pomocą Google'a loginy, hasła i dane dotyczące serwerów pięćdziesięciu różnych brytyjskich i kanadyjski urzędów. Swobodny dostęp do tablic na Trello urzędy usunęły w ciągu tygodnia od otrzymania zgłoszeń.

Każdy, kto tylko chciał, mógł za dzięki kilku zapytaniom zadanym za pomocą Google’a przeglądać wewnętrzne dokumenty, nad którymi pracowano w urzędach. Internetowe narzędzie do pracy grupowej Trello pozwala przydzielać zadania i dzielić się dokumentami. W wypadku 50 brytyjskich i kanadyjskich urzędów były to hasła, dane personalne i ważne dokumenty przechowywane na wewnętrznych serwerach i na Dysku Google’a. Co ciekawe, udostępniono też loginy i hasła do serwerów FTP. Okazuje się, że nie tylko urzędy dość swobodnie traktują kwestię poufności. Pathak uzyskał dostęp do niezabezpieczonych tablic Trello różnych firm.

Firmy i instytucje publiczne udostępniają wrażliwe dane na publicznych tablicach w Trello (graf. Kushagra Pathak)

Sytuacja jest o tyle dziwna, że Trello domyślnie ustawia nowo-utworzone tablice jako prywatne, co oznacza, że dostęp do nich mają tylko osoby z odpowiednimi uprawnieniami. Aby upublicznić tablicę tak, by mogły korzystać z nich także osoby niezalogowane (w tym boty Google), trzeba świadomie zmienić ustawienia. Trudno powiedzieć, co kierowało osobami, które zarządzały tablicami administracji publicznej. Choć możemy z dużym prawdopodobieństwem przypuszczać, że była to przede wszystkim wygoda i niewiedza. Zdecydowanie łatwiej jest bowiem przesłać komuś link do wątku w Trello niż nadawać uprawnienia każdemu z osobna, albo kopiować treść informacji do wiadomości e-mail.

Za pomocą kilku zapytań można uzyskać m.in. dostęp do bazy danych (graf. Kushagra Pathak)

Zewnętrzne narzędzia do pracy grupowej są bardzo wygodne. Jednak trzeba pamiętać o zachowaniu ostrożności. Stworzenie dobrej polityki bezpieczeństwa nie jest łatwe, ze względu na przyzwyczajenia użytkowników. Dobrym pomysłem jest wprowadzenie weryfikacji dwuetapowej, a także kluczy USB do szyfrowania korespondencji i dokumentów. Nic jednak nie zastąpi zdrowego rozsądku, którego najwyraźniej zabrakło brytyjskim i kanadyjskim urzędnikom. | CHIP

Reklama

Źródło: Kushagra Pathak