Несколько дней назад, 25 апреля, в ходе исследования я обнаружил, что множество частных лиц и компаний размещают свою конфиденциальную информацию на своих общедоступных досках Trello. Такая информация, как нефиксированные ошибки и уязвимости системы безопасности, учетные данные их учетных записей в социальных сетях, учетных записей электронной почты, сервера и административные панели - вы называете это, они доступны на их общедоступных досках Trello, которые индексируются всеми поисковыми системами, и любой может легко их найти.
Как я это обнаружил?
Я искал экземпляры Jira компаний, использующих Bug Bounty Programs, по следующему поисковому запросу:
inurl:jira AND intitle:login AND inurl:[company_name]
Примечание. Я использовал глупый запрос Google, который иногда называют глупым. Это строка поиска, в которой используются расширенные операторы поиска для поиска информации, которая не всегда доступна на веб-сайте. - WhatIs.com
Я ввел Trello
вместо [company name]
. Google представил несколько результатов на Trello Boards. Их видимость была установлена на общедоступную, и они отображали данные для входа в некоторые экземпляры Jira. Было около 8:19 по всемирному координированному времени.
Я был так шокирован и поражен 😲
Так почему это было проблемой? Что ж, Trello - это онлайн-инструмент для управления проектами и личными задачами. И у него есть доски, которые используются для управления этими проектами и задачами. Пользователь может установить видимость своих досок на частную или публичную.
Обнаружив этот недостаток, я подумал - почему бы не проверить другие проблемы с безопасностью, такие как учетные данные электронной почты?
Затем я изменил свой поисковый запрос, чтобы сосредоточиться на досках Trello, содержащих пароли для учетных записей Gmail.
inurl:https://trello.com AND intext:@gmail.com AND intext:password
А что насчет SSH и FTP?
inurl:https://trello.com AND intext:ftp AND intext:password inurl:https://trello.com AND intext:ssh AND intext:password
🔎 Что еще я нашел
Проведя несколько часов, используя эту технику, я сделал еще больше удивительных открытий. Все это время я продолжал менять свой поисковый запрос.
Некоторые компании используют Public
доски Trello для управления ошибками и уязвимостями безопасности, обнаруженными в их приложениях и веб-сайтах.
Люди также используют общедоступные доски Trello в качестве причудливого общедоступного диспетчера паролей для учетных данных своей организации.
Некоторые примеры включают сервер, CMS, CRM, деловую электронную почту, учетные записи в социальных сетях, аналитику веб-сайтов, Stripe, учетные записи AdWords и многое другое.
Вот еще один пример:
До этого я не фокусировался ни на какой конкретной компании или программах Bug Bounty.
Но через девять часов после того, как я обнаружил эту штуку, я нашел контактные данные почти 25 компаний, из которых произошла утечка очень конфиденциальной информации. Я сообщил о них. Найти контактную информацию для некоторых из них было утомительной и сложной задачей.
Я писал об этом в личном Slack охотников за багами и на сервере Infosec в Discord. Я также написал об этом в Твиттере сразу после того, как открыл для себя эту технику Trello. люди были поражены и поражены не меньше меня.
Затем люди начали рассказывать мне, что они находят классные вещи, такие как деловые электронные письма, учетные данные Jira и конфиденциальную внутреннюю информацию программ Bug Bounty, с помощью техники Trello, которой я поделился.
Спустя почти 10 часов после знакомства с этой техникой Trello я начал тестировать компании, использующие специальные программы Bug Bounty. Затем я начал с проверки хорошо известной компании, занимающейся райдшерингом, с помощью поискового запроса.
inurl:https://trello.com AND intext:[company_name]
Я сразу же нашел доску Trello , которая содержала данные для входа в учетную запись корпоративной электронной почты сотрудника, а другую - некоторую внутреннюю информацию.
Чтобы убедиться в этом, я связался с кем-то из их службы безопасности. Они сказали, что получили отчет о Правлении, содержащий учетные данные электронной почты сотрудника прямо перед моим, и о другом Правлении, содержащем некоторую внутреннюю информацию. Служба безопасности попросила меня предоставить им полный отчет, потому что это новое открытие.
К сожалению, мой отчет был закрыт как Duplicate
. Позже компания, занимающаяся райдшерингом, выяснила, что они уже получили отчет о найденной мной доске Trello.
В ближайшие дни я сообщил о проблемах еще 15 компаниям, связанным с их досками Trello, из-за которых происходила утечка конфиденциальной информации об их организациях. Некоторые из них были крупными компаниями, но у многих не было программы Bug Bounty.
Однако одна из 15 компаний проводила программу Bug Bounty, поэтому я сообщил им через нее. К сожалению, они не наградили меня, потому что это была проблема, за которую они в настоящее время не платят. 🤷
Обновление - 18 мая 2018 г .:
И буквально на днях я обнаружил кучу общедоступных досок Trello, содержащих действительно конфиденциальную информацию (включая данные для входа!) правительства. Удивительный!
Об этом также сообщали The Next Web и Security Affairs.
Обновление - 17 августа 2018 г .:
За последние месяцы я обнаружил в общей сложности 50 советов Trello правительств Великобритании и Канады, содержащих внутреннюю конфиденциальную информацию и учетные данные. The Intercept написал об этом подробную статью здесь.
Обновление - 24 сентября 2018 г .:
В августе я обнаружил 60 общедоступных досок Trello, общедоступную Jira и несколько документов Google от Организации Объединенных Наций, которые содержали учетные данные для нескольких FTP-серверов, социальных сетей и учетной записи электронной почты, много внутренней коммуникации и документов. The Intercept написал об этом подробную статью здесь.
Спасибо, что прочитали мою историю.
Если вам понравилась эта статья, дайте мне несколько аплодисментов 👏
И вы можете подписаться на меня в Twitter ✌️
Я хотел бы поблагодарить CyberSecStu , Toffee и редакцию freeCodeCamp за помощь в корректуре и редактировании этой статьи. .