Migliaia di password online: ma questa volta non c’entrano gli hacker

Un esperto di sicurezza ha scoperto la possibilità di ricavare dati sensibili da bacheche lasciate (inconsapevolmente?) pubbliche. Basta una semplice ricerca su Google

Trello è uno strumento di Project Management estremamente potente realizzato dalla Fog Creek Software che permette di organizzare il lavoro in semplici task. Un esperto di sicurezza ha scoperto una cattiva pratica nella gestione di Trello da parte di alcuni utenti, che consente con una semplice interrogazione in Google (Google dork) di ricavare le password da decine di bacheche pubbliche Trello.

La scoperta

Tutto ha inizio dall’account Twitter di Trello @Trello account su cui leggiamo:

 

“Scelto da milioni di persone, Trello è lo strumento di collaborazione visiva che crea una prospettiva condivisa su qualsiasi progetto.”

 

Peccato che questi milioni di utenti probabilmente non hanno ben chiaro il concetto di “bacheca pubblica”, che usano come spazio “privato” mentre non lo è affatto.

Le bacheche pubbliche non sono spazi privati

Milioni di utenti rischiano di mettere a nudo i propri dati personali, comprese le credenziali, le informazioni sensibili, e le informazioni riservate sui loro progetti. Mentre scriviamo, i dati di molti utenti sono già accessibili utilizzando un Google dork, a scoprirlo è stato Kushagra Pathak (Twitter: @xKushagra) e ha descritto il procedimento che ha utilizzato in un post sul suo blog.

 

Qualche giorno fa, mentre era intento nella ricerca di istanze del tool Jira utilizzato da aziende che hanno lanciato un Bug Bounty Programs, con la seguente interrogazione

ha scoperto che utilizzando il nome del dominio “trello.com” nel campo [company_name], il Google dork restituiva bacheche di Trello dove vengono ancora oggi pubblicate ogni genere di informazioni. Analizzando i risultati l’esperto ha “scoperto che molti individui e aziende stanno mettendo le proprie informazioni sensibili sulle loro bacheche Trello pubbliche.” Incredibile ma vero.

Di che tipo di informazioni parliamo?

“Informazioni come bug non corretti e vulnerabilità della sicurezza, le credenziali di account sui social media, account di posta elettronica, dashboard di server e amministratori”: ovviamente questo tesoro non è passato inosservato ai motori di ricerca cha hanno indicizzato il prezioso contenuto, rendendolo disponibile attraverso apposite interrogazioni.

Modificando opportunamente le query possiamo “concentrarci sulle bacheche Trello contenenti le password per gli account Gmail”. Ecco di seguito il Dork utilizzato:

Molte password sono in chiaro come visibile nell’immagine seguente:

Questo perché le bacheche di Trello erano “pubbliche” e non private, ma i loro utenti sembravano non esserne al corrente o non rendersene conto.

L’uso errato delle bacheche pubbliche di Trello

Alcuni ignari utenti hanno utilizzato le bacheche pubbliche di Trello come “un gestore di password per le credenziali della propria organizzazione”, scrive Kushagra Pathak. La disponibilità online di queste informazioni rappresenta una seria minaccia per le aziende:, inoltre i malintenzionati potrebbero sfruttarle per attacchi di vario tipo.

 

Attraverso altri dork potremmo ricercare dati utilizzando ad esempio come chiave gli indirizzi email (AoL, Yahoo, Mail.com) o i protocolli (SSH, FTP), account di social media, documenti ed account AdWords.

La scoperta italiana

L’esperto di sicurezza Italiano Odisseus è stato il primo a lanciare l’allarme attraverso una serie di Tweet ed un post sul sito Security Affairs. Insieme a lui abbiamo fatto qualche ricerca ed i risultati sono davvero sconcertanti.

 

L’autore della scoperta, il già citato Kushagra Pathak, ha prontamente riportato la situazione all’azienda che gestisce Trello ed ha segnalato l’accaduto a diverse decine di aziende informandole che i propri dati erano disponibili online. L’aspetto divertente di questa storia è che trovare la persona giusta o la giusta mail di contatto per segnalare il problema alla aziende è stato davvero facile: erano tutti sulle bacheche Trello pubblicate online.

 

Parlando di cose serie invece non possiamo non sottolineare l’importanza dei programmi di Bug Bounty. In questo caso però, Kushagra Pathak non è stato premiato da alcuna delle imprese che ha aiutato, e questo è davvero triste: “Purtroppo, non mi hanno premiato perché quello che ho scoperto non era un problema incluso nei loro programmi di Bug Bounty”, ha detto l’esperto.

 

Ho sentito Odisseus per un commento sull’accaduto, di seguito riporto la sua dichiarazione:

 

“La storia assurda di Trello dimostra ancora una volta quanto sia vitale la consapevolezza nell’uso degli strumenti digitali per tutelare adeguatamente le informazioni personali. Gli utenti di Trello infatti inserivano informazioni riservate in luoghi pubblici, non capendo che potevano diventare di pubblico dominio. Una svista non da poco: sembra che Trello ora imposti come opzione di default il “Private” per le nuove Board, ma ancora una volta si evidenzia che é proprio “l’utente che non usa la testa” la causa del proprio male: usare bacheche “Public” é certo più comodo quando si vuole condividere dati con altri utenti, ma bisogna immaginare che tali informazioni se possono essere consultate dai propri colleghi, possono essere viste anche dai malintenzionati. Per non parlare poi della pessima pratica di condivisione di password e altre info sensibili, é un comportamento tanto più autolesionista. In merito agli aspetti legati all’ethical hacking vorrei sottolineare come l’autore del post non abbia penetrato, “bucato” le aziende abusando di tali dati sensitive, ma le abbia invece avvisate responsabilmente, da vero whitehat hacker, faticando non poco a trovare i referenti giusti delle info riservate lasciate incautamente sulle Trello Board. Quindi davvero tanto di cappello!”.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter