Хабрахабр

[Перевод] Рассказ о том, как я, с помощью Google, нашёл пароли на десятках публичных досок Trello

Кушагра Патак занимается информационной безопасностью. 25 апреля он обнаружил, что множество частных лиц и компаний выкладывают секретную информацию на публичные доски Trello. В частности, речь идёт о сведениях, касающихся неисправленных ошибок и уязвимостей в программах, об учётных данных аккаунтов в социальных сетях и в почтовых службах, об именах и паролях для доступа к серверам и панелям управления администраторов. Все эти, а также другие подобные сведения, находились на общедоступных досках Trello, которые индексируют все поисковые системы, что позволяет кому угодно эти сведения найти. В материале, перевод которого мы сегодня публикуем, речь пойдёт о том, как была сделана эта находка.

image

История находки

Я занимался поиском экземпляров Jira, принадлежащих компаниям, которые предлагают программы Bug Bounty. Для этого использовался следующий поисковый запрос:

inurl:jira AND intitle:login AND inurl:[company_name]

Хочу обратить ваше внимание на то, что я использовал так называемые dork-запросы Google. Такие запросы представляют собой поисковые строки, включающие в себя операторы расширенного поиска. Они применяются для поиска информации, которая индексируется поисковыми системами, но, при обычной работе с сайтами, недоступна.

Google выдал несколько результатов — ссылок на публичные доски Trello. В ходе экспериментов я, в вышеописанный запрос, вместо [company_name], ввёл Trello. Это случилось в 8:19 утра по UTC. Они содержали данные для подключения к некоторым экземплярам Jira.

Я был совершенно потрясён этой находкой.

Дело в том, что Trello — это онлайновый инструмент, предназначенный для управления проектами и персональными задачами. Почему это — проблема? Пользователь может настраивать видимость своих досок, в частности, устанавливая её в значение Приватная или Публичная. В нём есть сущности, называемые досками, которые как раз и используются для управления проектами и задачами.

После того, как я обнаружил вышеописанную проблему, я подумал, что интересно было бы поискать похожие уязвимости, связанные с небезопасным хранением других данных, скажем, сведений для доступа к почтовым ящикам.

Тогда я модифицировал запрос таким образом, чтобы он был направлен на поиск досок Trello, содержащих пароли к аккаунтам Gmail.

inurl:https://trello.com AND intext:@gmail.com AND intext:password

Вот что выдал поисковик.

Поиск досок Trello с учётными данными для доступа к почтовым ящикам

А как насчёт SSH и FTP?

inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password

Кое-что удалось найти и по этим запросам.

Поиск досок Trello с данными для доступа к SSH- и FTP-аккаунтам

Продолжение поисков

После того, как я экспериментировал с запросами в течение нескольких часов, я обнаружил и другие интересные вещи. Найти их удалось, модифицируя запросы.

Некоторые компании используют публичные доски Trello для управления работой, связанной с ошибками и уязвимостями, обнаруженными в их приложениях или веб-сайтах.

Доски с информацией об уязвимостях

Кроме того, обычные люди используют публичные доски Trello как чудные общедоступные менеджеры паролей для учётных данных компаний, в которых они работают.

Там же были имена и пароли корпоративных почтовых ящиков, учётных записей в Stripe, в AdWords, в социальных сетях. Среди примеров того, что удалось обнаружить — данные для доступа к серверам, CMS-системам, CRM-системам, системам веб-аналитики. И это — далеко не полный список находок.

Публичные доски Trello, которые содержат секретную информацию

Вот ещё пример.

В общий доступ попали сведения о базе данных, содержащей персональные данные и финансовую информацию

До того, как мне удалось всё это обнаружить, я не занимался исследованием, нацеленным на какую-то конкретную компанию или программу Bug Bounty.

Кстати, найти эти контактные сведения было не так уж и просто. Однако, через девять часов после того, как я обнаружил эту уязвимость Trello, я нашёл контактные сведения примерно 25 компаний, допустивших утечку конфиденциальных данных, и сообщил им о проблеме.

Я, сразу после того, как нашёл уязвимость, опубликовал соответствующий твит. Также я сделал запись в приватном Slack-канале, которым используются те, кто участвует в программах Bug Bounty, и в Discord-канале, посвящённом информационной безопасности. Реакция тех, кто об этом узнал, была похожа на мою.

Затем мне стали поступать сообщения от тех, кто воспользовался обнаруженной мной уязвимостью для поиска данных для доступа к корпоративным почтовым ящикам, к экземплярам Jira и к другой закрытой информации в рамках программ Bug Bounty.

Реакция аудитории на сообщение об уязвимости

Затем — проверил одну хорошо известную компанию, которая занимается организацией совместного использования транспортных средств, применяя запрос следующего вида: Примерно через 10 часов после обнаружения описанной здесь уязвимости, я сосредоточился на исследовании компаний, у которых имелись программы Bug Bounty.

inurl:https://trello.com AND intext:[company_name]

Я немедленно нашёл доску Trello, содержащую данные для доступа к корпоративному почтовому ящику какого-то сотрудника этой компании, и ещё одну доску с информацией, явно не предназначенной для чужих глаз.

Мне сказали, что им уже сообщили об этих проблемах, но попросили прислать полный отчёт об обнаруженных уязвимостях. Для того, чтобы убедиться в том, что то, что я нашёл — действительно секретные данные, случайно ушедшие в общий доступ, я связался с сотрудником из службы безопасности этой компании. Дальше я сообщил о похожих проблемах ещё в 15 компаний. К несчастью, мой отчёт был закрыт, как повторный, так как позже компания обнаружила, что она уже получила отчёт о той же самой уязвимости. Правда, у одной из них такая программа была, и я сообщил о найденной проблеме в рамках этой программы. Некоторые из них были крупными организациями, но у многих из них не было программ Bug Bounty. К несчастью, вознаграждения от них я не получил, так как найденная мной проблема не относилась к тем уязвимостям, за обнаружение которых они готовы были платить.

Уважаемые читатели! А вы уже проверили свои доски в Trello на предмет утечки конфиденциальной информации?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть