在網上以明文形式存儲密碼從來都不是一個好主意,但值得注意的是,有很多公司的員工都在使用像Trello.com這樣的在線協作工具來做這件事。
上週,KrebsOnSecurity得到通知,稱許多公司的員工們正在使用Trello共享敏感的內部資源的密碼。在這些活動中面臨風險的企業包括一家保險公司、一家政府機構以及叫車服務公司Uber。
默認情況下,企業和個人使用的Trello看板(Board)要麼是私有的(需要一個密碼來查看內容),要麼是團隊可見的(協作團隊的批准成員可以查看)。
但這並不能阻止個人Trello用戶手動分享包括專有僱主數據的個人看板,重要的是,這些信息可以被搜索引擎索引,以至於任何人使用網絡瀏覽器的人都可以看到。這對企業來說是極其不幸的,因為有太多的員工將敏感的內部密碼和其他資源發佈在自己的個人看板上,造成所有的信息線上公開。
一個由Uber員工創建的個人Trello,包含的密碼可能暴露出了公司的內部運營
上週,KrebsOnSecurity通過谷歌發現了未受保護的個人
Trello看板,列出了其僱主的密碼以及其他敏感數據。上圖是由Uber在亞太地區的開發者創建的個人Trello看板,其中包括了大量查看公司內部谷歌文檔和圖片所需的密碼。
“從全球來看,總有一些地方的Uber員工沒有意識到他們正在公開分享這些信息。我們已經聯繫了這些團隊,提醒他們這些事情背後存在的風險。員工意識是一直存在的挑戰,也許在這件事情上我們躲過了一劫,但說實話,可能還會有更嚴重的情況發生。”
Ensign表示關於Trello暴露信息的最初報告是通過該公司的漏洞賞金計劃披露的,報告這件事情的人至少會得到500美元的獎勵(Uber暫時還未確定是否應該針對此事件提高獎勵金額)。
Ensign稱,創建該看板的員工“利用他們的工作郵件打開了一個本不應該看的公共看板。同時,它們也並沒有通過企業賬戶進行創建。這一事件是公司的漏洞懸賞計劃發現的,雖然從技術上說,這不是我們產品的弱點,但我們總會為此付出代價的。”
當然,並不是每家公司都有一個漏洞懸賞計劃來激勵發現或者私下報告內部資源洩露問題的,但總有些資源會在不經意間暴露在網上,Trello只是其中之一。
Trello只是位於澳大利亞悉尼的科技公司 Atlassian Corporation PLC開發的眾多在線協作工具之一。Trello的聯合創始人Michael Pryor表示,Trello的看板默認設置是私有的,用戶必須手動才能將其更改為Public。
Pryor稱:“我們會在確認用戶創辦公共看板的意圖之前,建立安全的保障機制。此外,可見性設置還會持續顯示在每個看板的頂端。”
有趣的是,上個週末,Trello的隱私政策的更新,可能會讓公司更容易找到員工創建的個人看板,並將其隱藏起來。
Trello的以為發言人表示,隱私方面的改變是為了讓該公司的政策符合本月晚些時候即將生效的新歐盟隱私保護法。但他們也澄清道,Trello的企業功能允許企業管理員控制員工在購買企業產品之前可能已經創建的工作賬戶的安全性和權限。
對此,Uber發言人Ensign表示歡迎。“這樣一來,公司對由前僱員或承包商創建的Trello看板會擁有更多的安全控制權,我們很高興看到這一變化。”
閱讀更多 雲有料 的文章
