Бизнес, 20 апр 2021, 10:23

Аналитики нашли данные сотен российских компаний в открытом доступе

В Сеть утекли данные компаний, которые используют облачную программу для управления проектами Trello, выявили аналитики. По их данным, в открытом доступе оказался почти миллион досок сервиса
Читать в полной версии
Фото: Matic Zorman / Getty Images

В публичном доступе оказались данные нескольких сотен крупных и тысяч небольших российских компаний, и объем этих данных продолжает расти, обнаружили аналитики Infosecurity a Softline company, пишет «Коммерсантъ».

Речь идет о данных публичных досок сервиса Trello, почти миллион из которых сейчас индексируется поисковыми системами, причем тысячи из них содержат конфиденциальную информацию, сообщили аналитики. В России бесплатный онлайн-менеджер проектов Trello использует в основном малый и средний бизнес, реже — представители крупных организаций, в том числе банков, уточнили в Infosecurity.

По данным аналитиков, компании размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов. Сейчас по тематическим запросам в поисковых системах опубликовано более 9 тыс. досок с упоминаниями логинов и паролей, сообщили в Infosecurity. Там отметили, что обычно несложно установить, из какой организации утекли сведения, поскольку ее наименование нередко упоминается либо в названии самой доски, либо в описании задач.

РБК обратился за комментарием в компанию Trello.

Данные досок Trello действительно можно обнаружить в открытом доступе, убедился РБК. Так, при вводе в поисковике Google названия сервиса и слов «сканы», «договоры» и т.д. можно увидеть личные страницы пользователей со сделанными или запланированными рабочими задачами. Также в досках есть данные о времени встреч и стоимости некоторых проектов. Во всех обнаруженных досках был настроен публичный тип видимости, при которой данные могут просматривать все пользователи Сети. Также там можно выбрать другие типы видимости: «приватная» (просматривать могут только участники), «рабочее пространство» (доступ для участников рабочего пространства) и «организация» (просматривать могут все сотрудники организации).

Злоумышленники могут использовать данные из досок, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов, волна которых отмечалась прошлой осенью, пояснили в Infosecurity. Аналитики отметили, что компании, данные сотрудников и клиентов которых оказались в открытом доступе, могут столкнуться со штрафами. Хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону «О персональных данных», уточнили в организации.

Гендиректор infosecurity Кирилл Солодовников считает, что ситуация с Trello — иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании. Компаниям следует перейти на платные онлайн-менеджеры проектов либо не размещать в Trello конфиденциальную корпоративную информацию, считает заместитель руководителя центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков.

Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка случилась впервые, отметили эксперты. В 2017 году через доски Trello удалось найти данные «Ростелекома», Acronis, МТС, об этом сообщало издание Roem, а в 2018 году в публичном доступе оказались данные Uber, писали в блоге krebsonsecurity.

Trello принадлежит австралийскому разработчику программного обеспечения Atlassian. По данным на октябрь 2019 года, число его пользователей превысило 50 млн, а в 2017 году сервис утверждал, что его используют 80% компаний из списка Fortune 500. К подобным бесплатным сервисам также относятся Evernote, Wunderlist, XMind, Notion.

Pro
«Не ждите шейхов с чемоданами денег»: как успешно запустить бизнес в ОАЭ
Pro
Контроль метрик в ресторане: от себестоимости до мотивации персонала
Pro
Претензии и иски к контрагентам выставляют роботы: опыт компании «Сибур»
Pro
Начальник кричит, игнорирует, буллит, троллит. Как реагировать
Pro
«Политика депрессии»: почему либеральные взгляды делают людей несчастными
Pro
Как контролировать счастье с помощью нейромедиаторов
Pro
Сотрудники в России массово манипулируют работодателями. Как это пресечь
Pro
Искренность переоценена: почему не стоит быть собой на работе