Stocker des mots de passe en clair en ligne n’est jamais une bonne idée, mais il est remarquable de voir combien d’entreprises ont des employés qui font exactement cela en utilisant des outils de collaboration en ligne comme Trello.com. La semaine dernière, BreachTrace a informé de nombreuses entreprises que des employés utilisaient Trello pour partager des mots de passe pour des ressources internes sensibles. Parmi les personnes mises en danger par une telle activité figuraient une compagnie d’assurance, une agence gouvernementale d’État et un service de covoiturage Uber.
Par défaut, les tableaux Trello pour l’entreprise et l’utilisation personnelle sont définis sur privé (nécessite un mot de passe pour afficher le contenu) ou visible par l’équipe uniquement (les membres approuvés de l’équipe de collaboration peuvent voir).
Mais cela n’empêche pas les utilisateurs individuels de Trello de partager manuellement des tableaux personnels qui incluent des données propriétaires sur les employeurs, des informations qui peuvent être indexées par les moteurs de recherche et accessibles à toute personne disposant d’un navigateur Web. Et malheureusement pour les organisations, beaucoup trop d’employés publient des mots de passe internes sensibles et d’autres ressources sur leurs propres tableaux Trello personnels qui sont laissés ouverts et exposés en ligne.
Un tableau Trello personnel créé par un employé d’Uber comprenait des mots de passe susceptibles d’avoir exposé des opérations internes sensibles de l’entreprise.
BreachTrace a passé la semaine dernière à utiliser Google pour découvrir des tableaux Trello personnels non protégés qui répertorient les mots de passe des employeurs et d’autres données sensibles. Sur la photo ci-dessus, un tableau personnel mis en place par certains développeurs Uber dans la région Asie-Pacifique de l’entreprise, qui comprenait les mots de passe nécessaires pour afficher une multitude de documents et d’images Google internes.
Porte-parole d’Uber Mélanie Enseigne a déclaré que le tableau Trello en question avait été rendu privé peu de temps après avoir été notifié par cette publication, entre autres. Ensign a déclaré qu’Uber avait découvert que le tableau Trello non autorisé exposait des informations relatives à deux utilisateurs en Amérique du Sud qui ont depuis été informés.
« Nous avions une poignée de membres dans des parties aléatoires du monde qui ne se rendaient pas compte qu’ils partageaient ouvertement ces informations », a déclaré Ensign. «Nous avons contacté ces équipes pour rappeler aux gens que ces choses doivent se produire derrière les ressources internes. La sensibilisation des employés est un défi permanent, nous avons peut-être esquivé une balle ici, et cela aurait certainement pu être pire.
Ensign a déclaré que le rapport initial sur le panneau exposé était parvenu le programme de primes de bugs de l’entrepriseet que la personne qui l’a signalé recevrait au moins le montant minimum de prime – 500 $ – pour avoir signalé l’incident (Uber n’a pas encore décidé si la récompense devrait être plus élevée pour cet incident).
Les employés d’Uber qui ont créé le conseil « ont utilisé leur messagerie professionnelle pour ouvrir un conseil public qu’ils n’étaient pas censés ouvrir », a déclaré Ensign. « Ils ne sont pas passés par notre compte d’entreprise pour créer cela. Nous l’avons découvert pour la première fois grâce à notre programme de primes de bogues, et bien qu’il ne s’agisse pas techniquement d’une vulnérabilité dans nos produits, c’est certainement quelque chose que nous paierions de toute façon. Dans ce cas, nous avons reçu plusieurs rapports sur la même chose, mais nous payons toujours le premier rapport que nous recevons. »
Bien sûr, toutes les entreprises ne disposent pas d’un programme de primes de bogues pour inciter à la découverte et au signalement privé de ressources internes susceptibles d’être exposées en ligne par inadvertance.
Les captures d’écran que BreachTrace a prises de nombreux exemples bien plus choquants d’employés publiant des dizaines de mots de passe pour des ressources internes sensibles ne sont pas illustrées ici car les parties concernées n’ont toujours pas répondu aux alertes fournies par cet auteur.
Trello est l’un des nombreux outils de collaboration en ligne créés par Atlassian Corporation PLC, une entreprise technologique basée à Sydney, en Australie. Co-fondateur de Trello Michel Prieur lesdits tableaux Trello sont définis sur privé par défaut et doivent être modifiés manuellement en public par l’utilisateur.
« Nous nous efforçons de nous assurer que les tableaux publics sont créés intentionnellement et ont des garanties intégrées pour confirmer l’intention d’un utilisateur avant de rendre un tableau visible publiquement », a déclaré Pryor. « De plus, les paramètres de visibilité sont affichés en permanence en haut de chaque tableau. »
Si un tableau est visible par l’équipe, cela signifie que tous les membres de cette équipe peuvent afficher, rejoindre et modifier des cartes. Si un tableau est privé, seuls les membres de ce tableau spécifique peuvent le voir. Si un tableau est public, toute personne disposant du lien vers le tableau peut le voir.
De façon intéressante, mises à jour apportées à la politique de confidentialité de Trello au cours du week-end dernier peut permettre aux entreprises de localiser plus facilement les tableaux personnels créés par les employés et de les attirer derrière les ressources de l’entreprise.
Un porte-parole de Trello a déclaré que les modifications de la confidentialité avaient été apportées pour aligner les politiques de l’entreprise sur les nouvelles lois européennes sur la confidentialité qui entreront en vigueur plus tard ce mois-ci. Mais ils précisent également que les fonctionnalités d’entreprise de Trello permettent aux administrateurs de l’entreprise de contrôler la sécurité et les autorisations autour d’un compte professionnel qu’un employé peut avoir créé avant l’achat du produit d’entreprise.
Le porte-parole d’Uber, Ensign, a qualifié les changements de bienvenus.
« En conséquence, les entreprises auront plus de contrôle de sécurité sur les tableaux Trello créés par les employés et sous-traitants actuels/anciens, nous sommes donc heureux de voir le changement », a-t-elle déclaré.
BreachTrace tient à remercier le chercheur en sécurité Kushagra Pathak pour l’avertissement concernant le conseil d’administration non autorisé d’Uber. Pathak a publié son propre récit de la découverte ici.
Mettre à jour: Ajout d’informations d’Ensign sur deux utilisateurs dont les données ont été exposées à partir des informations d’identification de la page Trello non autorisée publiée par les employés d’Uber.