Данные тысяч российских компаний оказались в открытом доступе из-за невнимательных сотрудников
В открытом доступе оказались данные тысяч российских компаний, которые пользуются программой для управления проектами Trello. Выяснилось, что их слили не хакеры, а невнимательные сотрудники самих организаций.
Утечку обнаружили аналитики Infosecurity a Softline company. Оказалось, что через поисковик в интернете сейчас можно найти почти миллион публичных досок Trello c информацией о компаниях. При этом тысячи таких досок содержат конфиденциальные сведения — списки сотрудников и клиентов, договоры, сканы паспортов, тендерную документацию и даже пароли от различных сервисов.
Как убедился «Секрет фирмы», сведения из досок Trello действительно можно найти через Google. Достаточно ввести в поисковике название сервиса вместе со словами «сканы» или «договоры». Таким образом можно сразу попасть на личные страницы пользователей, где у них расписаны рабочие задачи.
Как отметили в Infosecurity, в России досками Trello пользуется преимущественно малый и средний бизнес, но последняя утечка затронула сведения сотен крупных организаций. Корпоративные сведения из досок этого сервиса уже оказывались в открытом доступе: в 2017 году оттуда утекли данные «Ростелекома», Acronis и МТС, а в 2018-м — агрегатора такси Uber. Однако настолько масштабная утечка произошла впервые, заявили эксперты.
Специалисты по кибербезопасности уверены, что хакеры тут ни при чём. Данные могли оказаться в открытом доступе из-за невнимательности или небрежности сотрудников пострадавших компаний. В свою очередь, злоумышленники могут использовать слитую из досок информацию, чтобы атаковать клиентов компаний или взламывать корпоративные Instagram-аккаунты.
В Infosecurity посоветовали компаниям перейти на платные специализированные сервисы либо не размещать в Trello конфиденциальную корпоративную информацию. Также эксперты предупредили, что за утёкшие сведения о клиентах, фирмы могут нарваться на штрафы. В феврале Госдума приняла законопроект об их увеличении, теперь для юрлиц штрафы за нарушение закона «О персональных данных» составляют 60 000 — 100 000 рублей.
Как работает Trello
Trello принадлежит австралийскому разработчику программного обеспечения Atlassian. Суть работы сервиса заключается во взаимодействии через так называемые канбан-доски, на которых расписываются задачи для сотрудников. Как правило, одна доска посвящена одному проекту (если в сервисе работает команда) или работе одного отдела, если речь идёт о компании.
Доски бывают трёх типов: публичная (доступна всем), командная (доступна только приглашённым участникам команды) и приватная (доступна исключительно по личному приглашению создателя доски). Если участника удаляют из команды — он более не видит изменений.
Ранее масштабную утечку данных россиян допустила компания Facebook. В открытом доступе оказалось почти 10 млн записей со сведениями о них. Массив данных содержал номера телефонов, полные имена, места проживания, даты рождения, семейное положение и другие данные пользователей соцсети.
Фото: кадр из видео / YouTube-канал Trello
Самые большие цифры в мире, но в пределах 280 символов — в нашем твиттере.