Usuários do Trello ainda estão expondo as próprias senhas em quadros públicos
Usuários do Trello estão novamente cometendo um erro de segurança já antigo, expondo suas próprias senhas em quadros cuja privacidade está ajustada como “Público”. O problema tornou-se conhecido em 2018, mas reflexos dele ainda estão aparecendo pela internet até hoje.
Segundo diversos usuários que relataram isso ao Olhar Digital, além de alguns perfis de canais de segurança nas redes sociais, vários usuários do Trello estão ajustando seus quadros para visualização geral. O problema é que isso acaba listando o conteúdo dos quadros no Google – podendo ser acessados por qualquer pessoa com uma simples busca.
Como você viu nas imagens acima, conduzimos um teste próprio para atestar a veracidade do problema e, infelizmente, a situação é real – e bem perigosa. Em cinco tentativas distintas, conseguimos acessar quadros com senhas de perfis de empresa no Instagram, credenciais de acesso de canais no YouTube, campanhas de redes sociais com informações de acesso a ferramentas de gestão (MLabs, Hootsuite etc.) e, em um caso, senhas de internet banking.
Em 2018, o blog de segurança Krebs on Security relatou casos similares, envolvendo empresas como Uber e até mesmo a própria Atlassian Corp, dona do Trello. No ano seguinte, em 2019, foram encontrados cerca de 60 quadros marcados como “público”, ligados à Organização das Nações Unidas (ONU) – a maioria, com cards de acesso a documentos privados no Google Docs.
O próprio Trello já lhe avisa do problema
O Olhar Digital tentou contato com a assessoria de imprensa do Trello em busca de um comentário, mas até o fechamento deste texto, não tivemos uma resposta.
Entretanto, o FAQ da empresa já informa que quadros públicos são indexados por mecanismos de busca (como o Google Search) como qualquer outro conteúdo aberto, e que o ajuste da configuração de privacidade para “Privado” impede isso.
“Um quadro público é visível para qualquer pessoa na internet e será exibido em buscadores como o Google. Apenas os usuários adicionados como membros do quadro podem editá-lo, mas qualquer pessoa com o link poderá vê-lo, mesmo que essa pessoa não tenha uma conta no Trello”, diz o FAQ.
Nesta questão, o usuário conta com diversas opções de privacidade para seus quadros: além do “Público” e “Privado”, há ainda configurações que permitem a visualização para apenas funcionários de uma empresa ou membros de um departamento específico dentro de uma empresa.
Com informações Olhar Digital
Fonte: Segurança na Tecnologia