Данные тысяч российских фирм оказались в свободном доступе

Данные, которые сотрудники тысяч российских компаний доверили менеджеру задач Trello, оказались в свободном доступе. При этом сервис никто не взламывал, просто люди использовали его "как удобнее", не задумываясь о возможных последствиях.

Данные тысяч российских компаний оказались в открытом доступе. То есть рядовой пользователь может найти и использовать по своему усмотрению сканы паспортов, пароли от интернет-банков, доступ к аккаунтам в соцсетях и многое другое. А все — из-за особенности работы популярного сервиса совместного решения задач Trello. Точнее, из-за неправильного его использования.

О проблеме сообщили исследователи из Infosecurity a Softline Company. Они проанализировали поисковую выдачу и нашли сотни тысяч открытых так называемых "досок", онлайн инструментов для постановки задач коллегам, в основном – в малых и средних компаниях. Но чтобы такой доской могли пользоваться несколько человек, создатель должен открыть им доступ. Например, адресно, через индивидуальные аккаунты.

Но зачастую доступ открывается для всех. Хотя Trello и предупреждает, что в этом случае страница действительно становится доступной для кого угодно, более того – она индексируется поисковиками. Любопытно, что уязвимость не новая, о ней сообщали аж 4 года назад. Но с тех пор ничего не изменилось – только данных стало больше.

"Я уверен, что сейчас появятся новые доски, на которых будет еще больше паролей. На мой взгляд, нужно обращать внимание на эту проблему. Мы это делаем не для того, чтобы какие-то абстрактные хакеры туда залезли и украли все пароли. Они и так прекрасно знают, они парсят данные оттуда "на ура". Мы это делаем для того, чтобы владельцы досок об этом подумали и сменили настройки конфиденциальности".

Александр Вураско, ведущий аналитик Infosecurity a Softline Company

Более того, утекают данные не только из Trello. Около трех лет назад был аналогичный скандал с Google Документами – прямо один в один, также конфиденциальные данные, открытые и индексированные поиском "Яндекса". "Яндекс" в итоге из своей выдачи Google Docs убрал, но глобально ситуация не изменилась. И, главное, таких облачных сервисов для совместной работы множество. И, в той или иной степени, всё это касается и их тоже.

"На мой взгляд, в целях обеспечения безопасности компании необходимо использовать такие решения как DLP, которые позволяют контролировать активность сотрудников. Так как анализ данных из Trello показывает, что во многих случаях эти доски сотрудники создают сами. Я сомневаюсь, что они согласовывают это с руководством, с департаментом безопасности. Об этом просто никто не знает. Нужно выстраивание системы: сотрудник должен обладать необходимыми знаниями, понимать ответственность перед компанией и должен ощущать контроль со стороны соответствующих подразделений. Но на самом деле это тоже проблема – я встречал открытые доски подразделений информационной безопасности, которые висят в Trello сейчас.

Александр Вураско, ведущий аналитик Infosecurity a Softline Company

Впрочем, сами эксперты не верят, что ситуация быстро изменится. Хотя бы потому, что у малого и среднего бизнеса зачастую нет ресурсов на обучение сотрудников или сильную службу безопасности.

***

И немного о техническом прогрессе в области смартфоностроения. По данным издание GSMArena, новое поколение гибкой электроники от Samsung — складные смартфоны Galaxy Z Fold и Galaxy Z Flip — будут сертифицированы как защищенные от пыли и влаги. Аппараты эти, как говорят, покажут уже в июле.

Тут суть в том, что еще недавно к механизмам складывания таких смартфонов было много вопросов. С первой партией первого поколения Z Fold вообще конфуз вышел – мало того, что некоторые блогеры отрывали с экрана защитную пленку, которую отрывать не нужно было, так и у более бережных пользователей под экран попадал мусор. Пыль и грязь портили и сложный механизм складывания. В общем, первые аппараты пришлось отзывать.

Ну и в целом нежность и хрупкость телефона за пару тысяч евро — это не очень удобно. И вот сначала механизм доработали, а теперь и вовсе как-то герметизировали. А это значит, что в Samsung рассчитывают на то, что такие смартфоны (или складные планшеты) могут перейти в разряд более массовых, а не просто имиджевых моделей. То есть можно надеятся и на снижение цены. Наверное. Когда-нибудь.