Цивилизация
В открытом доступе были обнаружены почти миллион «досок» сервиса Trello, некоторые их которых содержат конфиденциальные данные сотен крупных и тысяч небольших российских компаний, сообщает издание «Коммерсантъ» со ссылкой на аналитиков Infosecurity a Softline company.
При этом объемы слитой информации продолжают расти.
Сервис Trello в основном используется для менеджмента различных проектов. Основными пользователями выступают малый и средний бизнес, но иногда сервис используют и крупные компании, в том числе банковские учреждения.
«Обычно несложно определить, из какой организации утекли сведения. Ее наименование нередко фигурирует либо в названии самой доски, либо в описании задач»,— поделились эксперты.
По данным на октябрь 2019 года, этим сервисом пользовалось более 50 млн компаний по всему миру, а в 2017 году администрация Trello утверждала, что ее используют 80% компаний из списка Fortune 500.
На досках сервиса можно разместить списки сотрудников и клиентов, договоры, данные корпоративных учетных записей и сканы различных документов. По заявлению Infosecurity, сейчас в поисковиках при соответствующем запросе можно найти около 9 тыс. досок с логинами и паролями.
Все эти данные оказались в открытом доступе как следствие утечки, однако, по словам, экспертов, утечек такого масштаба еще не происходило. В 2017 году также можно было найти в поиске данные «Ростелекома», Acronis, МТС, а в 2018 году — Uber.
«Это иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании»,— отмечает гендиректор infosecurity Кирилл Солодовников.
Слитая в сеть информация может быть полезна для злоумышленников — они могут атаковать клиентов компаний или взломать корпоративные аккаунты в различных соцсетях. Однако есть и более серьезные угрозы.
«Подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону «О персональных данных», — рассказали эксперты Infosecurity.
Руководитель аналитического департамента AMarkets Артем Деев в беседе с «Газетой.Ru» отметил, что рано или поздно такой объем конфиденциальной информации попал бы в сеть, так как хранится в открытом доступе.
«Это все равно, как если бы частное лицо опубликовало данные своего паспорта, СНИЛС, ИНН, а вдобавок еще пароли от страниц в соцсетях. На таких сервисах, которые помогают бизнесу решать различные вопросы по взаимодействию с клиентами, можно найти много информации, которая, в принципе, должна обсуждаться с заказчиками и исполнителями лично при встрече», — поделился эксперт.
По его словам, утечка этих данных дает возможность организовывать атаки на бизнес с целью парализовать производственные процессы или помешать заключению сделок.
«Но главное последствие – это проблема с безопасностью. Контрагенты могут посчитать, что компании слишком халатно относятся к вопросам защиты персональных и корпоративных данных, и отказаться от сотрудничества, что приведет к прямым убыткам», — отметил Деев.
Однако, как отмечает PR-менеджер ESET в России Михаил Бочаров, никакой утечки данных из Trello не произошло.
Фактически, выложенные корпоративные данные – это просто собранная в одном месте информация, доступная по запросу в Google.
«У досок Trello есть простые настройки конфиденциальности: а) приватная б) командная (рабочее пространство/организация) в) публичная. При выставленной галочке на пункте «в» содержимое доски будет индексироваться в поисковике. Зная, что в той или иной организации пользуются Trello, попробовать найти корпоративную информацию может не только интернет-мошенник, но и конкурент по бизнесу, сыщик, в конце концов, студент, пишущий диплом и нуждающийся в актуальных данных по своей теме», — поделился Бочаров.
По его словам, причины, по которым в базах для хакеров появляются массивы конфиденциальных данных, заключаются в небрежном отношении пользователей к сервисам, где они размещают рабочую документацию, а также в халатности сотрудников, отвечающих за информационную безопасность.
