Zaterdagochtend nog eens een heerlijk langzame ochtend gehad en deze gestart met het bijlezen van blogs via Feedly.
Zo kwam ik op een blogpost op de gekende securityblog Krebs on security over wachtwoorden in publiek gedeelde Trello borden met het voorbeeld van een Uber engineer, die zo wachtwoorden had gelekt.
Trello is een super handige Todo-app, die veel wordt gebruikt voor projectmanagement. wat vele gebruikers niet weten is dat wanneer een beheerder onbewust de privacy-instellingen op “publiek” laat staan, deze Trello-overzichten ook worden geïndexeerd door Google.
Zeker nu dat we allemaal druk bezig zijn met GDPR documentatie en contracten (mijn agenda zit volledig volgeboekt), vergeten vele bedrijven om eerst eens de zwakste schakel zelf na te kijken. Inderdaad de eigen werknemers blijven de zwakste schakel…
Trello staat zo waarschijnlijk niet op de GDPR-lijst met tools, waarbinnen persoonsgegevens verwerkt worden. Maar je ziet dus dat deze tool toch ook even aandacht vereist.
Even zelf op zoektocht gegaan
Is dit dan echt zo een groot securityprobleem? Een eenvoudige Google-query was genoeg om na amper enkele minuten zoeken reeds verschillende gevoelige Trello-borden te vinden. Hierin vond ik zeer gevoelige gegevens en talloze paswoorden.
Voorbeeld van wat ik zo tegenkwam:
Zo is het gebruik van een paswoordmanager, zoals Lastpass, een topmethode om overal unieke en moeilijke wachtwoorden te gaan gebruiken. Als je dan echter je Lastpass hoofdwachtwoord zo gaat lekken, dan zit je wel met een “securityprobleempje”…
Natuurlijk heb ik nadien die beheerders opgespoord en heb ik hen hiervan op de hoogte gebracht. Deze blogpost is dan ook pas verschenen, nadat ik er zeker van was, dat deze Trello-borden nu niet meer publiek staan.