image

Britse en Canadese overheid lekken wachtwoorden via Trello-pagina's

vrijdag 17 augustus 2018, 17:10 door Redactie, 1 reacties

De Britse en Canadese overheid hebben wachtwoorden, beveiligingsplannen en ander gevoelig materiaal via verkeerd geconfigureerde Trello-pagina's gelekt. Trello is een online tool voor projectmanagement. Vijftig Trello-pagina's, ook wel boards genoemd, waren zo ingesteld dat ze voor iedereen toegankelijk waren. Daarnaast had Google de pagina's geïndexeerd, zo ontdekte onderzoeker Kushagra Pathak die The Intercept informeerde.

Via een eenvoudige Google-zoekopdracht ontdekte Pathak de niet afgeschermde pagina's. Op de pagina's stonden inloggegevens voor een account van de Britse overheid bij een domeinregistrar, gedeelde e-mails, code van een overheidssite en informatie over bugs. Verder stonden er ook gegevens van conference calls en toegangscodes vermeld, inloggegevens voor CPanel en een discussie over hoe voorkomen kan worden dat persoonlijke informatie via Google Analytics lekt. Na te zijn ingelicht verwijderde de Britse overheid de pagina's binnen twee tot drie dagen.

Nadat hij de pagina's van de Britse overheid had gevonden ontdekte Pathak ook verschillende boards van de Canadese overheid. Daarop stonden inloggegevens voor een ftp-server en Eventbrite, een platform voor het plannen van evenementen. Ook vond de onderzoeker een Excel-bestand met informatie over het beheren van webapplicaties en een discussie over het uitvoeren van securitytests in de nasleep van een beveiligingsincident, links naar onderzoeksdocumenten en taken van een security working group betreffende audits en securitytests. De boards werden binnen een week na een tip van Pathak door de Canadese overheid uit de lucht gehaald.

Trello laat in een reactie weten dat Trello-boards standaard op privé staan ingesteld en gebruikers die handmatig openbaar moeten maken. Ook Pathak erkent dit. "Trello doet alles wat ze kunnen om te voorkomen dat een gebruiker per ongeluk een openbaar Trello-board maakt. De standaardinstellingen van een Trello-board staat op privé. En zelfs wanneer een gebruiker een board aanmaakt is de zichtbaarheid altijd bovenaan het board te zien." Volgens The Intercept heeft de Britse overheid personeel via interne communicatie opgeroepen om ervoor te zorgen dat online tools zoals Trello op de juiste manier worden gebruikt.

Reacties (1)
18-08-2018, 21:12 door ph-cofi
Bedrijfsgeheimen op Trello? Zelfs al stel je de toegangsbeperking in, dan nog ben je a) heel hip in the cloud b) ongeschikt of c) allebei...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.