Ved hjælpe af relativt simple Google søgninger er det muligt at hente store mængder brugernavne og passwords ud af værktøjet Trello, hvor typisk projektfolk og udviklere kan skabe et fælles område, hvor de kan organisere, samarbejde og dele oplysninger.
Svagheden i boardet er påvist i en test, som Version2s norske søstermedie Digi.no har gennemført.
Det første, digi.no gjorde, var at udskifte 'password' med 'passord' på norske boards.
Her fandt de bl.a. boardet for en børnemusikfestival drevet af forældre, hvor en bruger havde postet password til lederens mail, support-mailen og kundeservice-mailen i klartekst.
»Vi satte vel tilgangen til ’offentlig’, fordi vi ikke tænkte, at der skulle ligge noget hemmeligt der, men sådan noget er jo let at glemme. Det må være lærepenge for os,« siger leder af festivalen Sofie Ringen.
Ud over det har mediet fundet bunkevis af boards for it-udvikling, og på en af dem lå API-testnøgler helt åbent fremme.
Digi.no har gemmenført testen, efter at sikkerhedsanalytikeren Kushagra Pathak i maj postede et indlæg på Medium, hvor han viste, hvordan han ved hjælp af enkle Google-søgninger kunne hente store mængder brugernavne og password-kombinationer.
Herunder kan du se et eksempel på den simple søgestreng, som Kushagra Pathak anvendte:
inurl:https://trello.com AND intext:@gmail.com AND intext:password
Resultatet var hundredvis af hits, hvor brugere havde postet e-mail- og password-kombinationer på offentlige boards. Personen, som opdagede dette, sendte advarsler til over 40 selskaber, før han offentliggjorde sit fund.
Måske på grænsen
Digi.no fandt også frem til et board for det norske parti De Grønnes lokalafdeling i Oslo. Her kunne man åbenlyst følge med i diskussionen om, hvem der skulle betale for middage, hvordan det gik med forskellige oplæg, og hvem der skulle rydde op efter årsmødet.
»Det er vel et forsøg på radikal åbenhed. Når man har så mange brugere, må man næsten regne med, at informationen er offentlig, så der skal ikke være nogen sensitiv information, selv om noget af det måske er på grænsen,« siger Torkil Vederhus, byrådssekretær i Oslo.
»Men vi har nogle regler om, at der ikke må ligge passwords og sådan noget i den offentlige gruppe. Ellers så har vi jo hemmelige grupper ud over denne med links til interne dokumenter og den slags,« siger han.
Har du fundet noget interessant i en Trello-søgning? Rapporter det til den pågældende virksomhed, og send os gerne et tip!
Denne artikel er fra digi.no.