Reading Time: 3 minutes

Quando um erro na estratégia de publicação é capaz de colocar em risco os dados privados de uma enorme comunidade de utilizadores inconcientes. É o que aconteceu com o Trello.

Um “entusiasta de segurança” encontrou uma vulnerabilidade na gestão do Trello e agora, com um simples dork é possível aceder às passwords de dezenas de boards públicas.

trello-2

 

A história começa com a conta @Trello no Twitter, onde é possível ler:

“Trusted by millions, Trello is the visual collaboration tool that creates a shared perspective on any project.” Yes, “trusted by millions”: but those millions probably didn’t understand the meaning “Public” of the Trello Boards, which they used as  “Private” space while they are not.

 

Na verdade, mesmo confiando no Trello, milhões de utilizadores correm o risco de ter os seus dados pessoais expostos – incluindo informações confidenciais, credenciais, informações reservadas dos seus projetos da empresa, etc.

Tem noção que, enquanto está a ler este artigo existem muitos criminosos a usar a dork para obter dados confidenciais expostos na Internet? E tudo isto graças a um google dork que pode ser facilmente usado.

O autor da descoberta é Kushagra Pathak, um entusiasta da segurança, e que divulgou esta incrível descoberta no seu blog.

Como ele refere, há alguns dias atrás, enquanto estava a explorar um programa Bug Bounty para Jiira, através de uma dork como esta:

trello-3

introduziu “trello.com” no lugar [company_name], e fez uma descoberta terrível: a pesquisa do Google retorna Trello Boards onde são exibidas todo tipo de informações.

Giving a better look at the results he “found that a lot of individuals and companies are putting their sensitive information on their public Trello Boards.”. Yes, it’ amazing but happened: what kind of information they have put on the Trello Boards? “Information like unfixed bugs and security vulnerabilities, the credentials of their social media accounts, email accounts, server and admin dashboards”, all this has been indexed by all the search engines so they can easily find them. He twitted this

 

Elaborando a dork, ele “modificou a string de pesquisa de forma a procurar espeficicamente passwords do Gmail nas boards do Trello”.

trello-4

trello-5

 

O Trello Boards passa então por um grande mal-entendido: os boards eram “públicos” e não privados, mas os utilizadores não sabiam ou não o consideravam.

Como escreveu Kushagra Pathak, muitos utilizadores usam o Trello como gestor de palavras-passe, e muitas credenciais têm acesso direto ao sistemas de gestão das organizações. Com isto, um ciberatacante tem um caminho completamente aberto para comprometer uma organização descuidada, que ao longo dos últimos meses foi partilhando informação sensível.

Através desta dork é possível pesquisar tudo! Emails, protocolos (SSH, FTP), contas de gestão, contas de acesso à Cloud, e inclusive contas de utilizadores portugueses, p.ex, de acesso ao website das finanças ou do cliente e-banking.

 

Kushagra Pathak descobriu que cerca de 25 organizações partilhavam informação sensível nas boards do Trello. Como Ethical Hacker, ele partilhou esta vulnerabilidade com as organizações, de forma a retirarem o conteúdo do serviço. No entanto, muitos dos dados ainda estão indexados no motor de pesquisa Google.

 

Costumizando a dork, é também possível identificar dados sensíveis de organizações e utilizadores portugueses, nomeadamente credenciais de acesso a gestor de conteúdo (CRM e CMS), contas individuais de acesso ao cliente e-bancking e até ao portal das finanças. As entidades competentes foram prontamente notificadas relativamente a esta ocorrência.

 

Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.