В поисковой системе Google можно найти доступные карточки внутрикорпоративных заданий, созданных в сервисе Trello. Из-за этого в открытом доступе оказались данные логинов, паролей от различных сайтов, включая соцсети, почтовые ресурсы и личные страницы людей или компаний.
Для поиска подобных данных в Google нужно вбить специальный запрос, например: «site:trello.com пароль». В результате поисковой выдачи появятся десятки ссылок на карточки, содержащие подобные слова. Таким образом удалось найти данные русскоговорящего фотографа из Кипра — Нины Королевой. В одной из карточек были указаны данные от сайта, социальных сетей и нескольких почт. Редакция theRunet связалась с пострадавшей, и она подтвердила, что ее данные оказались в открытом доступе.
«Очень странно вышло, все пароли поменяла, закрыли вроде бы доступ, но вопрос, что еще сделать?»,- негодует Нина Королева.
На данный момент индексация данных из Trello присутствует только в поиске Google. На официальном сайте сервиса для планирования указано, что клиентами их программы являются сами разработчики Google. Сервисы Yandex и Mail.ru ограничили доступ к публичным доскам. О том, по какой причине они это сделали, на запрос theRunet не ответили. В Trello также не ответили на запрос редакции.
Trello — облачная программа для управления проектами небольших групп, разработанная Fog Creek Software. С ее помощью многие команды разработчиков организовывают свой рабочий процесс.
Летом 2018 года произошел похожий инцидент с Google Docs. Из-за чего в открытый доступ попали различные отчеты, документы, пароли и так далее. В числе первых на это обратил внимание паблик MDK, который на своей странице в Twitter разместил ссылки на таблицы с личной информацией пользователей.
Документы, попадающиеся в выдаче «Яндекса», не были защищены настройками приватности – это означает, что их создатель разрешил просмотр (или даже редактирование) всем, у кого есть нужная ссылка. Google и сам индексирует доступные всем документы из Google Docs.
«Google убирает персональные данные из поисковой выдачи в соответствии с GDPR и другими законодательными актами, однако пароли не относятся к такого рода информации и их хранение является задачей пользователя»,- отметил основатель сервиса разведки утечек DLBI, Ашот Оганесян.