L'enregistrement des mots de passe dans les forums publics Trello est vraiment une très mauvaise idée

Si vous mettez quelque chose sur une page Web accessible au public, vous devez supposer qu'il peut (et sera par la suite) lu par une autre personne. Par là, je ne veux pas mettre des choses que vous voudriez garder secrètes – comme des mots de passe et des références d'API – dans des endroits où quelqu'un pourrait éventuellement les trouver.

Cela semble évident, n'est-ce pas? C'est parce que c'est …

Cela dit, un chercheur en sécurité est tombé sur une tendance inquiétante des organisations qui stockent des informations d'identification sensibles dans les documents Trello, pas moins. Un attaquant pourrait facilement les trouver avec un peu plus d'une requête de Google.

Le chercheur, Kushagra Pathak a trouvé un véritable trésor d'informations d'identification. Ceux-ci incluent des noms d'utilisateur et des mots de passe pour les courriels et les comptes de médias sociaux, ainsi que des informations plus sérieuses, comme les informations d'identification SSH et les secrets API pour divers services en ligne, comme Amazon Web Services . facile de taper dans Google choses comme:

 inurl: https: //trello.com ET intext: ssh ET intext: mot de passe

Étonnamment, Pathak a également rencontré des organisations utilisant des forums publics Trello pour gérer leurs programmes de primes de bogues. C'est inquiétant car ils contiennent une liste de problèmes de sécurité en cours et non résolus. Un adversaire pourrait utiliser cette information pour facilement énumérer les faiblesses d'un site Web ou d'un système et y pénétrer.

Pathak a déclaré à TNW qu'il avait rencontré 40 cas où des entreprises avaient été accidentellement blessées. fuites d'informations d'identification via les conseils publics. Après les bonnes pratiques de divulgation éthique, il a informé les parties concernées. Beaucoup n'ont pas encore résolu le problème, et aucun ne lui a payé une prime de bogue – ce qui est assez avare.

Vous pouvez lire tous les détails du problème sur Le blog de Pathak pour FreeCodeCamp . Il est important de souligner que ce n'est pas vraiment un problème avec Trello, mais plutôt avec des gens qui n'utilisent pas correctement les cartes publiques du service pour stocker des informations sensibles.

Comme un sage l'a dit, "il n'y a pas de pièce pour la bêtise humaine." 19659013] Comment j'ai utilisé une simple requête Google pour extraire les mots de passe de dizaines de cartes publiques Trello
sur Kushagra Pathak / FreeCodeCamp