Trello 數據洩露,注意線上協作工具安全
█據媒體報導,Trello 洩露了上千家公司的用戶數據。 此次洩露非同尋常;許多公司多年來一直使用 Trello,且懶得去正確設置隱私選項。 某些調查人員將使用者資訊公佈於眾。
實際上,每隔幾年就有報導指出,有些公司在 Trello 上公開存儲重要數據。 三年前,研究人員 Kushagra Pathak 曾在媒體上重點討論了這個問題。 可惜的是,這樣的警告往往只能起到一時的作用。
洩露的內容與原因
Trello 成員使用工作區協助專案。 默認情況下,工作區是不公開的,非團隊成員無法查看,但是,當使用者需要向非團隊成員展示工作區時,他們會將工作區的可見性設為公開。 公開後,任何用戶通過直接連結都能打開工作區,搜尋引擎也能檢索到其中的資訊。 每塊工作區的訪問許可權都是可以單獨設置的。
結構性的搜索可查找到多家公司的公開工作區,其中包括隱藏的網站憑據、文檔掃描和機密業務洽談,這些正是調查人員一直在尋找和發佈的資訊。
即使公司的 Trello 工作空間中未保存任何機密文檔和密碼,非法訪問工作空間也會給公司帶來麻煩。 攻擊者會利用業務資訊,使其社交工程攻擊更具說服力。 例如,攻擊者會與員工進行交談,提及當前項目的細節,從而降低他們的警惕性。
設定的 Trello,將資訊設為私密
只要更改兩個設定,就能防止搜尋引擎檢索 Trello 工作空間中的數據。 一個是工作空間的可見性,另一個是每塊工作區的可見性,後者更為重要。
工作空間有兩個可見性設置:非公開和公開。 選擇哪個設定,顯而易見。
工作區有多個可選選項:非公開(僅工作區成員可見)和公開(所有人可見)。 目前,Trello 介面上詳細地介紹了可見性選項,網路爬蟲只能訪問公開的工作區,所以,只要不選擇”公開”,其他選項都能防止數據洩漏。
我們認為,與工作有關的資訊至少應僅限員工可見,因此,最好選擇「非公開」選項。 雖然這樣需要有人管理訪問每塊工作區的人員許可權,增加一點工作量,但這樣可以確保資訊的完整性。
確保合作安全
正確設置 Trello 工作區的可見性,可防止信息洩露。 此外,還應採取其他一些重要措施:
- 妥善管理有權訪問 Trello 工作空間和每塊工作區的使用者清單。 如果有人離開項目、團隊或公司,立即撤銷其訪問許可權;
- 向員工介紹使用強密碼的重要性,建議他們啟動 Trello 的雙重認證選項;
- 確保負責資訊安全的每位員工都瞭解所有員工所用的在線協作工具,以及員工在這些工具和服務中存儲的資訊。 評估風險和建立威脅模型需要用到這些資訊;
- 請記住,任何協作工具都能變成網路威脅(惡意檔或連結)的傳播管道,因此,每台電腦上都要安裝安全解決方案。