L’histoire du mois dernier sur les organisations exposant des mots de passe et d’autres données sensibles via des espaces collaboratifs en ligne sur Trello.com n’a fait qu’effleurer la surface du problème. Une plongée plus profonde suggère qu’un grand nombre d’agences gouvernementales, d’entreprises de marketing, d’organisations de soins de santé et de sociétés de support informatique publient des informations d’identification via des tableaux Trello publics qui sont rapidement indexés par les principaux moteurs de recherche.
Par défaut, les tableaux Trello pour l’entreprise et l’utilisation personnelle sont définis sur privé (nécessite un mot de passe pour afficher le contenu) ou visible par l’équipe uniquement (les membres approuvés de l’équipe de collaboration peuvent voir).
Mais les utilisateurs individuels peuvent être en mesure de partager manuellement des tableaux personnels contenant des données personnelles ou exclusives sur l’employeur, des informations cataloguées par les moteurs de recherche Internet et accessibles à toute personne disposant d’un navigateur Web.
David Cisaillement est analyste chez Point de rupture, une société de renseignements sur les menaces basée à New York. Shear a passé plusieurs semaines le mois dernier à explorer les profondeurs des données sensibles exposées sur Trello. Au cours de ses recherches, Shear a documenté des centaines de tableaux Trello publics qui exposaient des mots de passe et d’autres informations sensibles. BreachTrace a travaillé avec Shear pour documenter et signaler ces tableaux à Trello.
Shear a déclaré qu’il était étonné du nombre d’entreprises vendant des services d’assistance informatique qui utilisent Trello non seulement pour stocker leurs propres mots de passe, mais également pour gérer les actifs des clients en ligne.
« Il y a un tas de magasins informatiques différents qui l’utilisent pour résoudre les demandes des clients et pour faire des mises à jour de l’infrastructure », a déclaré Shear. « Nous avons aussi trouvé une équipe de développement Web qui a fait beaucoup de travail pour divers cabinets dentaires. Vous pouviez voir qui étaient tous leurs clients et voir les informations d’identification permettant aux clients de se connecter à leurs propres sites. Ce sont des sociétés informatiques qui font cela. Et ils ont tout suivi via [public] pages Trello.
Un faux pas particulièrement choquant est venu de quelqu’un qui travaillait pour Section, une entreprise de cybersécurité de Westford, Massachusetts, qui vante la capacité de détecter et d’arrêter les violations de données en temps réel. Mais jusqu’à il y a quelques semaines, la page Trello de Seceon comportait plusieurs noms d’utilisateur et mots de passe, y compris des informations d’identification pour se connecter au compte de l’entreprise. WordPress blogue et iPage hébergement de domaine.

Identifiants partagés sur Trello par un employé de Seceon, une entreprise de cybersécurité.
Shear a également découvert qu’un ingénieur logiciel senior travaillant pour Red Hat Linux en octobre 2017 a publié des informations d’identification administratives sur deux serveurs différents apparemment utilisés pour tester de nouvelles versions.

Titres publiés par un ingénieur logiciel senior chez Red Hat.
le Département de la santé publique du comté de Maricopa (MCDPH) en Arizona a utilisé des tableaux publics Trello pour documenter une foule de ressources internes qui se trouvent généralement derrière les intranets d’entreprise, comme ce tableau qui a agrégé des informations pour les nouvelles recrues (y compris des informations sur la façon de naviguer dans le système de paie du MCDPH) :

La page Trello (aujourd’hui disparue) du département de la santé publique du comté de Maricopa.
Même les régulateurs fédéraux de la santé ont fait des faux pas en matière de confidentialité avec Trello. Les recherches de Shear ont permis de découvrir une page Trello publique gérée par HealthIT.gov — le site Web officiel de la Coordonnateur national des technologies de l’information sur la santéun composant de la Département américain de la santé et des services sociaux (HHS) – qui fuyait les informations d’identification.
Il semble y avoir un grand nombre de spécialistes du marketing et d’agents immobiliers qui utilisent des tableaux Trello publics comme bloc-notes de mots de passe personnels. L’une de mes préférées est une page Trello gérée par un « assistant virtuel » spécialisé dans l’aide aux agents immobiliers pour trouver de nouveaux clients et des prospects. Apparemment, cette personne a réutilisé le mot de passe de son compte Trello ailleurs (et/ou peut-être l’a réutilisé à partir d’une liste de mots de passe disponibles sur sa page Trello), et par conséquent quelqu’un a ajouté une carte « Vous avez piraté » au Trello de l’assistant conseil d’administration, l’exhortant à changer le mot de passe.
Un agent immobilier d’Austin, au Texas, qui a publié de nombreux mots de passe sur son tableau public Trello avait apparemment son profil Twitter piraté et défiguré par une photo représentant un drapeau nazi géant et divers souvenirs nazis. On ne sait pas comment le pirate de l’air a obtenu son mot de passe, mais il semble qu’il soit sur Trello depuis un certain temps.
D’autres entités qui ont partagé par inadvertance des mots de passe pour des ressources privées via des tableaux Trello publics comprenaient une autorité de l’aviation chinoise ; la Société internationale du sida; et la société mondiale de conseil et de recherche en technologie Maçon d’analysequi a également exposé son Compte Twitter informations d’identification sur Trello jusqu’à très récemment.
Trello a répondu à ce rapport en rendant privés de nombreux tableaux référencés ci-dessus ; d’autres conseils signalés semblent rester publics, moins les informations sensibles. Trello a déclaré qu’il travaillait avec Google et d’autres fournisseurs de moteurs de recherche pour supprimer toutes les copies en cache des tableaux exposés.
« Nous avons mis en place de nombreuses garanties pour nous assurer que les tableaux publics sont créés intentionnellement et ont un langage clair autour de chaque paramètre de confidentialité, ainsi que des paramètres de visibilité persistants en haut de chaque tableau », a déclaré un porte-parole de Trello à BreachTrace en réponse à cela. recherche. « En ce qui concerne l’indexation des moteurs de recherche, nous envoyons actuellement le code de réponse HTTP correct à Google après qu’un tableau est rendu privé. Il s’agit d’une action automatisée et immédiate qui se produit lorsque les utilisateurs effectuent la modification. Mais nous essayons de voir si nous pouvons accélérer le temps qu’il faut à Google pour se rendre compte que certaines URL ne sont plus disponibles.

Si un tableau Trello est visible par l’équipe, cela signifie que tous les membres de cette équipe peuvent afficher, rejoindre et modifier des cartes. Si un tableau est privé, seuls les membres de ce tableau spécifique peuvent le voir. Si un tableau est public, toute personne disposant du lien vers le tableau peut le voir.
Shear de Flashpoint a déclaré que Trello devrait faire un effort plus concerté pour trouver de manière proactive les données sensibles exposées par ses utilisateurs. Par exemple, Shear a déclaré que la plate-forme de Trello pourrait effectuer un certain type d’analyse automatisée qui recherche des mots-clés spécifiques (comme « mot de passe ») et si la page est publique, afficher un rappel à l’auteur du tableau sur la façon de rendre la page privée.
« Ils pourraient facilement effectuer une validation d’entrée sur des choses comme les mots de passe s’ils ne vont pas rechercher de manière proactive leur propre réseau pour ce genre de choses », a déclaré Shear.
Co-fondateur de Trello Michel Prieur a déclaré que la société était reconnaissante pour la suggestion et la considérerait.
« Nous examinons d’autres applications cloud de notre taille et comment elles équilibrent la grande majorité du partage utile d’informations publiques avec le fait d’aider les gens à ne pas se tromper », a déclaré Pryor. « Nous continuerons à explorer le sujet et les solutions potentielles, et apprécions le travail que vous avez mis dans la liste que vous avez partagée avec nous. »
Shear a déclaré qu’il doutait que ses découvertes ne révèlent même la véritable étendue des données sensibles que les organisations exposent via des tableaux Trello mal configurés. Il a ajouté que même dans les cas où les tableaux Trello publics n’exposent pas les mots de passe ou les données financières, les informations que d’innombrables organisations publient sur ces tableaux peuvent fournir de nombreuses munitions aux hameçonneurs et aux cybercriminels qui cherchent à cibler des entités spécifiques.
« Je ne pense pas que nous ayons même découvert la profondeur réelle de ce qui est probablement là », a-t-il déclaré. « Je serais surpris si quelqu’un n’essayait pas au moins de collecter un tas de mots de passe utilisateur et de fichiers de configuration sur de nombreux comptes Trello pour des opérations malveillantes. »
Mise à jour, 23 h 56 HE : Emplacement corrigé du MCDPH.