Una nueva investigación de David Shear en la empresa de seguridad Punto de inflamabilidad descubrió que hay cientos, si no miles, de tableros abiertos de Trello que contienen contraseñas, credenciales de inicio de sesión y otras cosas potencialmente confidenciales, incluidos los documentos de incorporación de los empleados. el y brian krebs informaron los tableros a Trello, aunque algunos piratas informáticos bien intencionados ya han notificado a algunas personas que escribieron “Cambiar su contraseña” en algunos de estos tableros públicos.
“Un paso en falso particularmente discordante vino de alguien que trabajaba para Sección, una empresa de ciberseguridad de Westford, Massachusetts, que promociona la capacidad de detectar y detener las filtraciones de datos en tiempo real”, escribió Krebs. “Pero hasta hace unas semanas, la página de Trello para Seceon presentaba múltiples nombres de usuario y contraseñas, incluidas las credenciales para iniciar sesión en el blog de WordPress de la empresa y el alojamiento del dominio iPage”.
Otro tablero de Trello creado en Red Hat en 2017 ofrecía contraseñas para un par de servidores de prueba en línea.
Trello trabajó con la pareja para eliminar los tableros públicos que encontraron y está trabajando con Google para eliminar los sitios almacenados en caché.
“Hemos implementado muchas medidas de seguridad para asegurarnos de que los tableros públicos se creen intencionalmente y tengan un lenguaje claro en torno a cada configuración de privacidad, así como configuraciones de visibilidad persistentes en la parte superior de cada tablero”, dijo un portavoz de Trello.
Los pasos en falso como estos son lamentablemente comunes. Otro gran tesoro de datos de usuarios, Github, se ha utilizado para encontrar contraseñas privadas durante años. Como anécdota, un proyecto en el que estaba trabajando sufrió una infracción cuando el CTO colocó una clave privada de Bitcoin en un código público de Github. Sí. Exactamente.
Entonces, nuevamente, mantenga sus tableros de Trello privados, no pegue contraseñas de cualquier manera y mantenga al menos un nivel básico de seguridad operativa al no pegar contraseñas en ningún sitio que pueda hacerlo público. Es difícil pero definitivamente vale la pena el esfuerzo.
Source link