Как Ваши паспортные данные могут оказаться в сети

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.739
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
5110A8EC-A86C-4DE6-A571-EB76578ED4C6.jpegМатериал достаточно тяжелый, но если вчитаться все предельно просто

Сегодня мы поведаем вам о том, как неправильная настройка политик конфиденциальности привела к утечке десятков тысяч паролей от самых разных сервисов, тысяч конфиденциальных документов и массивов персональных данных, в том числе сканов паспортов сотрудников и клиентов различных организаций.

Нашим сегодняшним героем становится онлайн-менеджер проектов Trello, публичные доски задач которого индексируются поисковыми системами и содержат просто невероятное количество конфиденциальной информации.

9d6f3bd2969728796d1f7.png

Классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени
8a80a1e939831ed098a31.png

Пример из сопредельного государства
В Trello есть 3 уровня конфиденциальности досок: приватная, командная и публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от доступных по ссылке видеороликов в YouTube, данные доски индексируются поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть до этого дело...

a982334414316523f120c.png

Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.

Давайте посмотрим, что нам выдаст google по запросу: пароль site:

На первом месте в поисковой выдаче нам попадается ныне закрытая доска "СММ для Нины", на которой еще пару дней назад можно было найти логины и пароли от всех страниц кипрского фотографа Нины Королевой, в частности, от страницы .

4debdf6dd93128eb550b2.png

Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на протяжение многих недель фигурировали на первых страницах поисковой выдачи Google.

Но Нина, вернее ее SMMщики - это лишь вершина айсберга. Банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.

Хотите пароли от Roblox? Пожалуйста.

6017015d133bbc012c296.png

Хотите пароли от инстаграма и прочих сервисов? Тысячи их!

df8772b74d709e01840bc.png

Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на этой доске назначают ответственного за составление списка секс-шопов для BDSM-гостиницы.

89095c75e232cf4529f8b.png

Анализ размещенного в Trello контента показывает, что значительная часть публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек информации? Конечно нет.

f6dda6a3262d18724861e.png

Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и заканчивая разработкой.

Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков.

93461d2bea4132cfe604a.png

А вот расчет расходов на зарплату одного регионального медицинского центра.

5ca1532399d130dc85799.png

На самом деле этот список можно продолжать бесконечно. Вы просто вводите в поиске "site: " и наслаждаетесь результатом.

7fa1ac9c9e1db8ef38a41.png

Пример публичной карточки компании, оказывающей своим клиентам помощь в участии в тендерах.
0071b598b6d09082d806a.png

Отдел ИБ, который не умеет выставлять права доступа...


Продолжать можно бесконечно. В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций

Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников. Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем: начиная от банальных взломов корпоративных Instagram-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.

Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у регулирующих органов – хранение сканов паспортов клиентов в публичном хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не соотносится с положениями Федерального закона «О персональных данных».

Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании можно сделать и парсер (если он еще не существует).

Возможно мы пишем очевидные для наших читателей вещи, но практика показывает, что очевидны они далеко не для всех. Ну а чтобы завершить наше повествование в позитивном ключе, мы подготовили небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.

Начнем, пожалуй, с досок русских, вернее украинских невест, которые разводят доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают представление о том, как работает этот криминальный бизнес.

b96491c3c0ab84c08bdd4.png

Куринная Анастасия и ее потенциальные жертвы
Trello действительно позволяет вывести командную работу на новый уровень - теперь разводить несчастных женихов можно целым коллективом.

9dbbd1f053cc6c0a9035d.png

Сусана-Лилия, Карл!
2f7836b42d85b1c0cadf3.png

Дерзенко Екатерина
7942105f6a8f9f8ca2371.png

Украинец Анна
Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку вебкам-индустрии.

8c4e6d7ad8ff1b29976e9.png

Задачи "купить доширак" и "починить швабру" здесь соседствуют с обучением использованию страпона. Сугубо прагматичный подход.

Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов.

bc2de7b691a0b6305265c.png

Но Trello - история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты таких досок и вторгаться в частную жизнь.

Зато можем понаблюдать за чужими успехами, это же не зазорно?

Вот, например, Георгий из Казахстана, который поставил себе весьма нетривиальные задачи на 2021 год.

2406f4a59ea460ed88076.png

Вернемся к этой странице через 8 месяцев (если Георгий ее не скроет от чужих глаз) и посмотрим, что из этого списка удалось реализовать. Лично мы болеем за мамину ипотеку.

К чему весь этот текст? Вы можете сколь угодно выставлять напоказ свою личную жизнь, но когда вы используете публичный сервис, такой как Trello, в работе своей организации, будьте любезны правильно настроить политики конфиденциальности, ведь от вас зависит безопасность всей компании. В качестве примеров мы привели самые безобидные вещи. В процессе анализа Trello нам попалось такое, что мы просто не рискуем публиковать, чтобы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.
 
Сверху Снизу