Что и как утекло из публичных досок в Trello | Блог Касперского
Из сервиса Trello, по данным СМИ, утекли конфиденциальные данные русскоязычных пользователей из нескольких сотен крупных и нескольких тысяч небольших компаний. Но на самом деле это не утечка в общепринятом смысле этого слова: компании годами использовали Trello, не озаботившись нормальными настройками приватности. А весь шум сейчас из-за того, что исследователи просто обнародовали этот факт.
На самом деле информация о том, что очередная компания хранит важные данные в открытом доступе в сервисе Trello, попадает в новости каждые несколько лет. Например, три года назад к той же проблеме пытался привлечь внимание исследователь Кушагра Патак (Kushagra Pathak) на площадке Medium. Помогает, к сожалению, ненадолго.
В чем причина «утечки» и что утекло
Все очень просто. В сервисе Trello для совместной работы над проектами используются так называемые «доски». Доступ к каждой из досок настраивается отдельно. По умолчанию доска создается в режиме «Приватная», то есть она не видна никому за пределами команды. Но порой возникает необходимость показать доску кому-то, кто не является участником рабочей команды, и тогда доску переводят в статус «Публичная». Она становится доступна любому пользователю по прямой ссылке, однако при этом информация на доске индексируется и поисковыми движками.
Так что, правильно сформулировав поисковый запрос, можно обнаружить много разных публичных досок, принадлежащих разным компаниям. А вместе с этим – и многочисленные учетные данные от разных сервисов, сканы документов и конфиденциальные рабочие обсуждения серьезных компаний, размещенные на публичных досках. Разнообразные исследователи уже несколько дней резвятся, публикуя всевозможную информацию, которая явно не предназначалась для посторонних глаз.
Доступ абсолютно посторонних людей к виртуальному рабочему пространству вашей компании в Trello может обернуться неприятностями, даже если вы не храните там конфиденциальные документы и пароли. Злоумышленники могут использовать рабочую информацию для организации убедительных атак методами социальной инженерии. Например, вступив в переписку кем-то из сотрудников и усыпив его бдительность пониманием мелких нюансов проекта, над которым работает команда в данный момент.
Как настроить Trello, чтобы информация не попала в общий доступ
Чтобы поисковые сервисы перестали индексировать данные из вашего рабочего пространства в Trello, нужно изменить всего две настройки: видимость рабочего пространства (что менее важно) и видимость каждой из досок (что важнее).
Для видимости рабочего пространства доступны два варианта — «приватная» и «публичная». Выбор очевиден.
С досками вариантов больше: «приватная» (доступ есть только у добавленных участников), «рабочее пространство» (доступ есть у всех участников этого рабочего пространства), «организация» (для бизнес-аккаунтов Trello: в этом случае доступ есть у всех сотрудников компании) и «публичная» (доступ есть у кого угодно). В современном интерфейсе Trello достаточно понятное описание возможных настроек видимости, и из него следует, что поисковым роботам доступны только публичные доски. То есть любой другой вариант позволил бы избежать произошедшей «утечки».
Однако мы придерживаемся мнения, что к рабочей информации должен иметь доступ минимальный набор сотрудников – так безопаснее. Поэтому в любом случае лучше использовать вариант «приватная». Да, это означает, что кто-то должен будет вручную контролировать список пользователей, которые имеют доступ к каждой из досок – это может показаться лишним трудом, но это же обеспечивает сохранность информации.
Как обеспечить безопасную совместную работу
Для того, чтобы данные с ваших рабочих досок в Trello не попадали в публичный доступ, достаточно настроить видимость каждой из них. Однако, кроме этого, следует помнить еще о нескольких важных вещах:
- Тщательно контролируйте список сотрудников, которым доступно ваше рабочее пространство в Trello и каждая из досок. Не забывайте отзывать доступ у тех, кто увольняется или хотя бы перестает работать над конкретным проектом.
- Объясняйте сотрудникам важность использования надежных паролей и рекомендуйте включать двухфакторную аутентификацию (в Trello есть такая опция).
- Сотрудники, отвечающие в компании за информационную безопасность, должны знать, какие онлайновые инструменты используют все остальные сотрудники для совместной работы и какую информацию там хранят. Это необходимо для оценки рисков и построения модели угроз.
- Помните, что любое средство для совместной работы может стать каналом распространения киберугроз (вредоносных файлов или ссылок). Поэтому на компьютере каждого сотрудника должно быть установлено надежное защитное решение.
Источник: Kaspersky-security.ru