Trello permite que boards públicos sejam indexados no Google, expondo dados sensíveis como senhas e cartões de crédito

Por: Felipe Ventura

Trello é uma ferramenta inspirada no método kanban que permite criar listas de tarefas organizadas em cartões e quadros (boards). Este serviço de gerenciamento de projetos é usado por mais de 35 milhões de pessoas e por 80% das empresas no ranking Fortune 500. Para usá-lo, é necessário tomar alguns cuidados: se o board for público, ele pode expor no Google dados sensíveis como senhas e números de cartões de crédito.

Trello

O gerente de projetos Mateus Vicente, leitor do Tecnoblog, nos alertou sobre este problema: alguns usuários brasileiros do Trello deixam credenciais de login, senhas, números de cartão e outros dados confidenciais em boards públicos, sem saber que eles são indexados pelo Google. Isso significa que uma busca por “senha”, “password”, “token” e outros termos semelhantes traz resultados com esse tipo de informação sensível.

Encontramos um board com informações de login e senha para Google, Vivo e sites de empresas de aviação. Um dos cards inclui até mesmo o número de um cartão de crédito com data de vencimento e código de verificação (CVV).

Em outro quadro, encontrado por Mateus, é possível encontrar login e senha do Instagram e Facebook para os clientes de uma empresa brasileira de comunicação digital. Em um terceiro board, uma empresa de marketing expôs os dados de cartão de um cliente que adquiriu uma campanha publicitária online.

Trello

Trello define todo board como “privado” por padrão

Este não é um problema exclusivo do Brasil: no ano passado, o pesquisador de segurança Brian Krebs encontrou um board público criado por desenvolvedores da Uber na região Ásia-Pacífico, incluindo senhas e links para documentos internos do Google Docs. A empresa definiu o quadro como privado e avisou dois usuários da América do Sul cujos dados foram expostos.

Na época, o cofundador do Trello, Michael Pryor, lembrou que os boards são configurados como “privado” por padrão, e que precisam ser alterados manualmente para “público” se o usuário assim desejar. “Nós nos esforçamos para garantir que os quadros públicos sejam criados intencionalmente, e criamos salvaguardas para confirmar a intenção do usuário antes de torná-lo visível publicamente”, ele disse ao Krebs on Security.

No FAQ, o Trello explica que um quadro público “é visível para qualquer pessoa na internet e aparecerá em mecanismos de pesquisa como o Google… qualquer pessoa com o link pode ver, mesmo que não tenha uma conta do Trello”.

Depois que o board é indexado, pode ser difícil removê-lo: “uma vez que o quadro se torna privado, nós avisamos o status correto do link para o Google (isto é, um erro 404), mas o Google precisa saber que isso é permanente”. Por isso, o Trello recomenda recorrer diretamente ao suporte do Google para retirar o link.

Trello

ONU e governo britânico tinham dados em boards públicos

Também no ano passado, o pesquisador Kushagra Pathank encontrou 60 boards públicos no Trello com informações confidenciais da ONU (Organização das Nações Unidas). Os cartões incluíam links para arquivos no Google Docs que podiam ser acessados por qualquer pessoa.

“Entramos em contato com todos os funcionários, lembrando-os dos riscos de usar uma plataforma de terceiros para compartilhar conteúdo, e de tomar as precauções necessárias para garantir que nenhum conteúdo confidencial seja público”, disse uma porta-voz da ONU ao The Intercept.

Algo semelhante aconteceu com o governo do Reino Unido: 10 boards públicos do Trello expuseram dados secretos, como medidas antiterrorismo, ao longo de quatro anos. A ZDNet nota que o Trello é uma das principais fontes de vazamentos de dados, assim como o serviço de nuvem Amazon S3 e instalações do ElasticSearch.

Esses serviços não vazaram dados por causa de falhas de segurança: eles estavam apenas mal configurados, assim como os quadros públicos do Trello. Se você utiliza o serviço, saiba como alterar a visibilidade de um board — e evite salvar senhas em texto puro.

Fonte: Tecnoblog