Simpel Google-søgning afslører parti-notater og personlige kontaktdata i Trello

Illustration: Screendump/Trello
Digi.no efterprøver læk af emails og interne notater i Trello.

Ved hjælpe af relativt simple Google søgninger er det muligt at hente store mængder brugernavne og passwords ud af værktøjet Trello, hvor typisk projektfolk og udviklere kan skabe et fælles område, hvor de kan organisere, samarbejde og dele oplysninger.

Svagheden i boardet er påvist i en test, som Version2s norske søstermedie Digi.no har gennemført.

Det første, digi.no gjorde, var at udskifte 'password' med 'passord' på norske boards.

Her fandt de bl.a. boardet for en børnemusikfestival drevet af forældre, hvor en bruger havde postet password til lederens mail, support-mailen og kundeservice-mailen i klartekst.

»Vi satte vel tilgangen til ’offentlig’, fordi vi ikke tænkte, at der skulle ligge noget hemmeligt der, men sådan noget er jo let at glemme. Det må være lærepenge for os,« siger leder af festivalen Sofie Ringen.

Ud over det har mediet fundet bunkevis af boards for it-udvikling, og på en af dem lå API-testnøgler helt åbent fremme.

Digi.no har gemmenført testen, efter at sikkerhedsanalytikeren Kushagra Pathak i maj postede et indlæg på Medium, hvor han viste, hvordan han ved hjælp af enkle Google-søgninger kunne hente store mængder brugernavne og password-kombinationer.

Herunder kan du se et eksempel på den simple søgestreng, som Kushagra Pathak anvendte:

inurl:https://trello.com AND intext:@gmail.com AND intext:password

Resultatet var hundredvis af hits, hvor brugere havde postet e-mail- og password-kombinationer på offentlige boards. Personen, som opdagede dette, sendte advarsler til over 40 selskaber, før han offentliggjorde sit fund.

Måske på grænsen

Digi.no fandt også frem til et board for det norske parti De Grønnes lokalafdeling i Oslo. Her kunne man åbenlyst følge med i diskussionen om, hvem der skulle betale for middage, hvordan det gik med forskellige oplæg, og hvem der skulle rydde op efter årsmødet.

»Det er vel et forsøg på radikal åbenhed. Når man har så mange brugere, må man næsten regne med, at informationen er offentlig, så der skal ikke være nogen sensitiv information, selv om noget af det måske er på grænsen,« siger Torkil Vederhus, byrådssekretær i Oslo.

»Men vi har nogle regler om, at der ikke må ligge passwords og sådan noget i den offentlige gruppe. Ellers så har vi jo hemmelige grupper ud over denne med links til interne dokumenter og den slags,« siger han.

Har du fundet noget interessant i en Trello-søgning? Rapporter det til den pågældende virksomhed, og send os gerne et tip!

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Det kan da ikke blive Trellos skyld


Jo hvorfor ikke ?
Man har da ansvar for at det software og de produkter man laver overholder love og regler. Samt er så robust, at de kan fungere i et rigtigt miljø, hvor der også er hacker og tåbelige bruger.

Som et eksempel, så vil et (ikke kinesiske købte) kiprelæ ikke brænde huset ned, hvis du holder kontakt trykket inde, eller den går i stykker..

Producenter af software og biler og alle andre IOT, har måske kun subjektiv ansvar på mange områder. Selv om jeg mener det bør ændres.

Men i forhold til GPDR, så har producenten og brugerne et objektiv ansvar. Og de kan sikkert også straffes.
Men hvis de hurtigt får styr på sagerne, får udbedret hullerne Samt følger proceduren fra GPDR, samt lover bod og bedring, så tror jeg ikke der er bøder på vej.

  • 0
  • 9
Daniel Jørgensen

Så må det jo også være Oracles skyld når nogle ligger passwords i klartekst i en database på en server, der kører MySQL eller hvad ? For det er jo også muligt og hvordan skulle de sikre sig imod det ? Eller Microsoft skyld at jeg gemmer passwords til min netbank i Microsoft Word, på en PC hvor jeg ikke har nogen kode. Og hvis vi bruger Bil analogien, må det vel også svare til at det er VW's skyld at jeg kører for stærkt i min bil og kører galt

  • 7
  • 0
Tobias Volfing

Man har da ansvar for at det software og de produkter man laver overholder love og regler. Samt er så robust, at de kan fungere i et rigtigt miljø, hvor der også er hacker og tåbelige bruger.

Jeg kunne godt tænke mig at du redegjorde for hvilke love og regler trello.com ikke overholder. Du må også gerne redegøre for dit grundlag for at mene at trello.com ikke er 'robust'.

Jeg forstår ikke din sammenligning med et kiprelæ eller IOT.

Trello.com er en tjeneste der udbyder virtuelle opslagstavler. Man kan benytte åbne opslagstavler, eller man kan bede om en hemmelig opslagstavle i et låst skab.

Det er som sådan en bedre løsning end den der hænger hos min lokale købmand, hvor der kun er en opslagstavle - og den er ikke låst væk.
Hvis jeg skriver en seddel med din e-mail adresse og tilhørende kodeord og hænger op på opslagstavlen hos min lokale købmand og oplysninger bliver misbrugt, vil du så bebrejde købmanden eller mig?

  • 7
  • 0
Hans Nielsen

Hvis jeg skriver en seddel med din e-mail adresse og tilhørende kodeord og hænger op på opslagstavlen hos min lokale købmand og oplysninger bliver misbrugt, vil du så bebrejde købmanden eller mig?


Begge 2. Og i kan begge blive straffe ansvarligt.

Der på ikke være personlig oplysninger, uden mit samtykke. Og slet ikke offentligt.
Hvis vi taler om adgangskoder, og andet ulovligt tilgået informations, som bør være krypteret og ikke muligt at tilgå.
Så er vi sikkert også i andet lovgivning end GDPR.

Du må ikke hænge det op, og købmanden har et ansvar for at fjerne det, hvis han ser det. Hvor meget og hvor tit han skal gennemgå opslagstavlen er en skønssag, og sikkert op til ham selv. Men jeg formoder at han med den nye GDPR, skal have det på skrift.

Hvilken del af den nye og gamle datalovgivning, samt straffelov, er det som du ikke forstår ?

  • 0
  • 5
Tobias Volfing

Hvilken del af den nye og gamle datalovgivning, samt straffelov, er det som du ikke forstår ?

Det må du næsten selv bedst vide. Jeg stiller mit spørgsmål af uvidenhed - jeg er ikke bekendt med hvilken lov/hvilken paragraf der pålægger købmandne i mit eksempel det ansvar.

Du må meget gerne henvise til den lovgivning/det stykke der omhandler det.

Selvfølgelig skal købmanden fjerne sedlen hvis han bliver gjort opmærksom på det - men hvilken lov forpligter ham at holde opsyn med opslagstavlen?

Jeg synes det er helt i orden at du bliver sur på mig for at hænge sedlen op, men at bebrejde købmanden for ikke selv at have set sedlen og fjernet den - det synes jeg er lige stramt nok. Så jeg er vældig interesseret i hvad det er for en lov der pådutter købmanden det ansvar.

  • 2
  • 1
Hans Nielsen

Nu er det faldet en dom i en sag, der ligner dit eksempel, med Trellos.
Du kender nok så meget til produktet, så du kan se om hvormeget sagen her ligner.

Det må du gerne kommentere kender ikke personligt til Trellos ?

Husk dette er inden GDPR, så love og regler er udvidet, i forhold til denne dom. Men alle parter, som har finger i data, er nu dataansvarligt. Og det kan man ikke fraskrive sig. Det gælder også Whiteboard virtuel som fysiske.

Hvad er det som du ikke forstår i loven om GDPR. Forsøget fra EU på at få privacy tilbage til der hvor det hører til Nemlig borgerne. Der høres stadig kun klynk og ynk fra personer og firmaer. Som stadig ikke har forstået hvor stor betydning denne lov måske kan få. Alt efter hvordan domstole dømmer i sagerne.

https://www.version2.dk/comment/377582#

  • 0
  • 4
Torsten Hagemann

Jeg har meget svært ved at se at de to sager er sammenlignelige. I den ene (Trello-sagen) har brugerne aktivt valgt en indstilling som offentliggør de informationer som de selv lægger på Trello-boardet. Diskussionen drejer sig om det indhold som brugerne lægger på boardet. Der er intet i det som Trello i den sammenhæng gør, som er ulovligt,

I den anden sag er brugerne valgt Facebook som platform og aktivt valgt indstillinger som medfører at platformen ikke overholder den gældende lovgivning. Der er det den tekniske opsætning af platformen (samt brugernes valg af indstillinger for deres side) som diskuteres.

  • 2
  • 1
Martin Høgh

Nu er det faldet en dom i en sag, der ligner dit eksempel, med Trellos.

Der er ingen "sag" med Trello. Ingen har anklaget Trello for noget. Artiklen omhandler en journalist, som har fundet password til gmail på Trello.

Sagen du henviser til omhandler brug af cookies og har intet at gøre med offentliggørelse af passwords til gmail.

Stop nu det pseudo-juristeri.

  • 3
  • 1
Hans Nielsen

Stop nu det pseudo-juristeri.


Nu mener jeg ikke at privacy og det nye GDPR er juristeri, men noget man skal tage alvorligt.

Men i har sikkert ret i, at det ikke er søgemaskine der direkte er problemet her. Jeg kender ikke selv produktet.
Men som det er beskrevet i artiklen, så synes jeg det kan være et problem. Med hensyn til privacy og GDPR.
Google og Facebook er jo også til dels ansvarligt for indhold og link..

Og noget software, eller brug der af, kan bliver betragtet som hackerværktøj, alt efter hvordan man bruger det, som feks, en port scanner ?

  • 0
  • 1
Martin Høgh

Trello kan vel sammenlignes med Google Docs og MS Office 360. Her har du mulighed for at pulishere vilkårlig tekst. Udgangspunktet er, at dokumenter er private og kan ikke ses af søgemaskiner.

De enkelte dokumenters indhold er Trello, Google eller Microsoft ikke ansvarlige for. Ansvar for indhold er noget, som er pålagt medie-virksomheder med redaktionel styring. Facebook har gjort et stort nummer ud af, at blive betraget som en teknisk platform uden redaktionel styring. Der er dog sat spørgsmåltegn ved det sidste. Læs evt. Wired's fremragende artikel om dette for et par numre siden.

I denne kontekst vil Trello nok også blive betraget som en teknisk platform uden redaktionel styring.

  • 0
  • 0
Log ind eller Opret konto for at kommentere