Simpel Google-søgning afslører parti-notater og personlige kontaktdata i Trello

12 kommentarer.  Hop til debatten
Simpel Google-søgning afslører parti-notater og personlige kontaktdata i Trello
Illustration: Screendump/Trello.
Digi.no efterprøver læk af emails og interne notater i Trello.
7. juni 2018 kl. 05:12
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ved hjælpe af relativt simple Google søgninger er det muligt at hente store mængder brugernavne og passwords ud af værktøjet Trello, hvor typisk projektfolk og udviklere kan skabe et fælles område, hvor de kan organisere, samarbejde og dele oplysninger.

Trello

Mange kender Trello som et projektværktøj, hvor man kan flytte rundt på opgaver i forskellige ’bokse’. På den måde kan man for eksempel holde styr på, hvor langt man er kommet i et projekt, og hvilke opgaver der endnu ikke er udført.

En fællesnævner for de fleste Trello-boards er, at de er beregnet til intern brug. Det er måske derfor, Trello har sat privat visning som standard, altså at kun inviterede medlemmer har adgang.

Hvis man ønsker det, kan man alligevel vælge, at boardet skal være offentligt. Og så er det at oplysninger, som var tænkt som private i en gruppe, bliver tilgængelige for uvedkommende.

Svagheden i boardet er påvist i en test, som Version2s norske søstermedie Digi.no har gennemført.

Det første, digi.no gjorde, var at udskifte 'password' med 'passord' på norske boards.

Artiklen fortsætter efter annoncen

Her fandt de bl.a. boardet for en børnemusikfestival drevet af forældre, hvor en bruger havde postet password til lederens mail, support-mailen og kundeservice-mailen i klartekst.

»Vi satte vel tilgangen til ’offentlig’, fordi vi ikke tænkte, at der skulle ligge noget hemmeligt der, men sådan noget er jo let at glemme. Det må være lærepenge for os,« siger leder af festivalen Sofie Ringen.

Ud over det har mediet fundet bunkevis af boards for it-udvikling, og på en af dem lå API-testnøgler helt åbent fremme.

Digi.no har gemmenført testen, efter at sikkerhedsanalytikeren Kushagra Pathak i maj postede et indlæg på Medium, hvor han viste, hvordan han ved hjælp af enkle Google-søgninger kunne hente store mængder brugernavne og password-kombinationer.

Artiklen fortsætter efter annoncen

Herunder kan du se et eksempel på den simple søgestreng, som Kushagra Pathak anvendte:

  1. inurl:https://trello.com AND intext:@gmail.com AND intext:password

Resultatet var hundredvis af hits, hvor brugere havde postet e-mail- og password-kombinationer på offentlige boards. Personen, som opdagede dette, sendte advarsler til over 40 selskaber, før han offentliggjorde sit fund.

Måske på grænsen

Digi.no fandt også frem til et board for det norske parti De Grønnes lokalafdeling i Oslo. Her kunne man åbenlyst følge med i diskussionen om, hvem der skulle betale for middage, hvordan det gik med forskellige oplæg, og hvem der skulle rydde op efter årsmødet.

»Det er vel et forsøg på radikal åbenhed. Når man har så mange brugere, må man næsten regne med, at informationen er offentlig, så der skal ikke være nogen sensitiv information, selv om noget af det måske er på grænsen,« siger Torkil Vederhus, byrådssekretær i Oslo.

»Men vi har nogle regler om, at der ikke må ligge passwords og sådan noget i den offentlige gruppe. Ellers så har vi jo hemmelige grupper ud over denne med links til interne dokumenter og den slags,« siger han.

Har du fundet noget interessant i en Trello-søgning? Rapporter det til den pågældende virksomhed, og send os gerne et tip!

Denne artikel er fra digi.no.

12 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
17. august 2018 kl. 09:05

Hvis du skal have login, så skal man gøre som jeg gjorde da jeg lavede login databasen til http://www.skoleogliv.dk/ Det er vigtigt at gøre det, du kan kode den godt. Men der er grænser for hvor meget man kan gøre på en hjemmeside. derimod hvis du hoster dine vigtige filer under alias eller på et externt sted er din side langt mere sikker

11
8. juni 2018 kl. 10:44

Trello kan vel sammenlignes med Google Docs og MS Office 360. Her har du mulighed for at pulishere vilkårlig tekst. Udgangspunktet er, at dokumenter er private og kan ikke ses af søgemaskiner.

De enkelte dokumenters indhold er Trello, Google eller Microsoft ikke ansvarlige for. Ansvar for indhold er noget, som er pålagt medie-virksomheder med redaktionel styring. Facebook har gjort et stort nummer ud af, at blive betraget som en teknisk platform uden redaktionel styring. Der er dog sat spørgsmåltegn ved det sidste. Læs evt. Wired's fremragende artikel om dette for et par numre siden.

I denne kontekst vil Trello nok også blive betraget som en teknisk platform uden redaktionel styring.

10
8. juni 2018 kl. 01:36

Stop nu det pseudo-juristeri.

Nu mener jeg ikke at privacy og det nye GDPR er juristeri, men noget man skal tage alvorligt.

Men i har sikkert ret i, at det ikke er søgemaskine der direkte er problemet her. Jeg kender ikke selv produktet.
Men som det er beskrevet i artiklen, så synes jeg det kan være et problem. Med hensyn til privacy og GDPR. Google og Facebook er jo også til dels ansvarligt for indhold og link..

Og noget software, eller brug der af, kan bliver betragtet som hackerværktøj, alt efter hvordan man bruger det, som feks, en port scanner ?

9
7. juni 2018 kl. 13:38

Nu er det faldet en dom i en sag, der ligner dit eksempel, med Trellos.

Der er ingen "sag" med Trello. Ingen har anklaget Trello for noget. Artiklen omhandler en journalist, som har fundet password til gmail på Trello.

Sagen du henviser til omhandler brug af cookies og har intet at gøre med offentliggørelse af passwords til gmail.

Stop nu det pseudo-juristeri.

8
7. juni 2018 kl. 13:34

Jeg har meget svært ved at se at de to sager er sammenlignelige. I den ene (Trello-sagen) har brugerne aktivt valgt en indstilling som offentliggør de informationer som de selv lægger på Trello-boardet. Diskussionen drejer sig om det indhold som brugerne lægger på boardet. Der er intet i det som Trello i den sammenhæng gør, som er ulovligt,

I den anden sag er brugerne valgt Facebook som platform og aktivt valgt indstillinger som medfører at platformen ikke overholder den gældende lovgivning. Der er det den tekniske opsætning af platformen (samt brugernes valg af indstillinger for deres side) som diskuteres.

7
7. juni 2018 kl. 13:16

Nu er det faldet en dom i en sag, der ligner dit eksempel, med Trellos. Du kender nok så meget til produktet, så du kan se om hvormeget sagen her ligner.

Det må du gerne kommentere kender ikke personligt til Trellos ?

Husk dette er inden GDPR, så love og regler er udvidet, i forhold til denne dom. Men alle parter, som har finger i data, er nu dataansvarligt. Og det kan man ikke fraskrive sig. Det gælder også Whiteboard virtuel som fysiske.

Hvad er det som du ikke forstår i loven om GDPR. Forsøget fra EU på at få privacy tilbage til der hvor det hører til Nemlig borgerne. Der høres stadig kun klynk og ynk fra personer og firmaer. Som stadig ikke har forstået hvor stor betydning denne lov måske kan få. Alt efter hvordan domstole dømmer i sagerne.

https://www.version2.dk/comment/377582#

6
7. juni 2018 kl. 11:52

Hvilken del af den nye og gamle datalovgivning, samt straffelov, er det som du ikke forstår ?

Det må du næsten selv bedst vide. Jeg stiller mit spørgsmål af uvidenhed - jeg er ikke bekendt med hvilken lov/hvilken paragraf der pålægger købmandne i mit eksempel det ansvar.

Du må meget gerne henvise til den lovgivning/det stykke der omhandler det.

Selvfølgelig skal købmanden fjerne sedlen hvis han bliver gjort opmærksom på det - men hvilken lov forpligter ham at holde opsyn med opslagstavlen?

Jeg synes det er helt i orden at du bliver sur på mig for at hænge sedlen op, men at bebrejde købmanden for ikke selv at have set sedlen og fjernet den - det synes jeg er lige stramt nok. Så jeg er vældig interesseret i hvad det er for en lov der pådutter købmanden det ansvar.

5
7. juni 2018 kl. 11:38

Hvis jeg skriver en seddel med din e-mail adresse og tilhørende kodeord og hænger op på opslagstavlen hos min lokale købmand og oplysninger bliver misbrugt, vil du så bebrejde købmanden eller mig?

Begge 2. Og i kan begge blive straffe ansvarligt.

Der på ikke være personlig oplysninger, uden mit samtykke. Og slet ikke offentligt. Hvis vi taler om adgangskoder, og andet ulovligt tilgået informations, som bør være krypteret og ikke muligt at tilgå.
Så er vi sikkert også i andet lovgivning end GDPR.

Du må ikke hænge det op, og købmanden har et ansvar for at fjerne det, hvis han ser det. Hvor meget og hvor tit han skal gennemgå opslagstavlen er en skønssag, og sikkert op til ham selv. Men jeg formoder at han med den nye GDPR, skal have det på skrift.

Hvilken del af den nye og gamle datalovgivning, samt straffelov, er det som du ikke forstår ?

4
7. juni 2018 kl. 10:39

Man har da ansvar for at det software og de produkter man laver overholder love og regler. Samt er så robust, at de kan fungere i et rigtigt miljø, hvor der også er hacker og tåbelige bruger.

Jeg kunne godt tænke mig at du redegjorde for hvilke love og regler trello.com ikke overholder. Du må også gerne redegøre for dit grundlag for at mene at trello.com ikke er 'robust'.

Jeg forstår ikke din sammenligning med et kiprelæ eller IOT.

Trello.com er en tjeneste der udbyder virtuelle opslagstavler. Man kan benytte åbne opslagstavler, eller man kan bede om en hemmelig opslagstavle i et låst skab.

Det er som sådan en bedre løsning end den der hænger hos min lokale købmand, hvor der kun er en opslagstavle - og den er ikke låst væk. Hvis jeg skriver en seddel med din e-mail adresse og tilhørende kodeord og hænger op på opslagstavlen hos min lokale købmand og oplysninger bliver misbrugt, vil du så bebrejde købmanden eller mig?

3
7. juni 2018 kl. 10:27

Så må det jo også være Oracles skyld når nogle ligger passwords i klartekst i en database på en server, der kører MySQL eller hvad ? For det er jo også muligt og hvordan skulle de sikre sig imod det ? Eller Microsoft skyld at jeg gemmer passwords til min netbank i Microsoft Word, på en PC hvor jeg ikke har nogen kode. Og hvis vi bruger Bil analogien, må det vel også svare til at det er VW's skyld at jeg kører for stærkt i min bil og kører galt

2
7. juni 2018 kl. 10:23

Det kan da ikke blive Trellos skyld

Jo hvorfor ikke ? Man har da ansvar for at det software og de produkter man laver overholder love og regler. Samt er så robust, at de kan fungere i et rigtigt miljø, hvor der også er hacker og tåbelige bruger.

Som et eksempel, så vil et (ikke kinesiske købte) kiprelæ ikke brænde huset ned, hvis du holder kontakt trykket inde, eller den går i stykker..

Producenter af software og biler og alle andre IOT, har måske kun subjektiv ansvar på mange områder. Selv om jeg mener det bør ændres.

Men i forhold til GPDR, så har producenten og brugerne et objektiv ansvar. Og de kan sikkert også straffes. Men hvis de hurtigt får styr på sagerne, får udbedret hullerne Samt følger proceduren fra GPDR, samt lover bod og bedring, så tror jeg ikke der er bøder på vej.

1
7. juni 2018 kl. 09:46

I får det til at lyde som om, at det er Trello der har et problem. Trello er jo blot et værktøj som folk der intet aner om sikkerhed åbenbart også bruger. At folk bruger det på en usikker måde er da ikke Trellos skyld!