Trello en het onbewust delen van paswoorden en gegevens

Zaterdagochtend nog eens een heerlijk langzame ochtend gehad en deze gestart met het bijlezen van blogs via Feedly.

Zo kwam ik op een blogpost op de gekende securityblog Krebs on security over wachtwoorden in publiek gedeelde Trello borden met het voorbeeld van een Uber engineer, die zo wachtwoorden had gelekt.

Trello is een super handige Todo-app, die veel wordt gebruikt voor projectmanagement. wat vele gebruikers niet weten is dat wanneer een beheerder onbewust de privacy-instellingen op “publiek” laat staan, deze Trello-overzichten ook worden ge├»ndexeerd door Google.

Zeker nu dat we allemaal druk bezig zijn met GDPR documentatie en contracten (mijn agenda zit volledig volgeboekt), vergeten vele bedrijven om eerst eens de zwakste schakel zelf na te kijken. Inderdaad de eigen werknemers blijven de zwakste schakel…

Trello staat zo waarschijnlijk niet op de GDPR-lijst met tools, waarbinnen persoonsgegevens verwerkt worden. Maar je ziet dus dat deze tool toch ook even aandacht vereist.

 

Even zelf op zoektocht gegaan

Is dit dan echt zo een groot securityprobleem? Een eenvoudige Google-query was genoeg om na amper enkele minuten zoeken reeds verschillende gevoelige Trello-borden te vinden. Hierin vond ik zeer gevoelige gegevens en talloze paswoorden.

Voorbeeld van wat ik zo tegenkwam:

Zo is het gebruik van een paswoordmanager, zoals Lastpass, een topmethode om overal unieke en moeilijke wachtwoorden te gaan gebruiken. Als je dan echter je Lastpass hoofdwachtwoord zo gaat lekken, dan zit je wel met een “securityprobleempje”…

Natuurlijk heb ik nadien die beheerders opgespoord en heb ik hen hiervan op de hoogte gebracht. Deze blogpost is dan ook pas verschenen, nadat ik er zeker van was, dat deze Trello-borden nu niet meer publiek staan.

Gerelateerde berichten

Herman Maes - online marketeer DPO freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead/GDPR expert en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing voor tips, tricks en random stuff.

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.