Данные пользовавшихся Trello российских компаний попали в открытый доступ
Данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе из-за неправильных настроек приватности, пишет «Коммерсант» со ссылкой на аналитиков Infosecurity a Softline company. Сейчас поисковыми системами индексируется почти миллион досок Trello, причем тысячи из них содержат конфиденциальную информацию.
Trello — бесплатный онлайн-менеджер проектов. Он позволяет создавать доски с задачами и делиться ими с командой. По данным на октябрь 2019 года, сервисом пользовались больше 50 млн человек. В России досками Trello пользуется в основном малый и средний бизнес, но встречаются и крупные организации, в том числе банки, отмечает издание.
Если не уточнить настройки приватности, доска будет считаться публичной и индексироваться поисковыми системами. Несмотря на это, пользователи размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документы, касающиеся участия в тендерах и разработки продукции, а также учетные данные корпоративных аккаунтов, выяснили в Infosecurity.
По данным аналитиков, сейчас по тематическим запросам в поисковых системах можно найти больше 9 тыс. досок с упоминаниями логинов и паролей. «Это иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании», — сказал гендиректор Infosecurity Кирилл Солодовников.
Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, уверены эксперты. В 2017 году через доски Trello удалось найти данные «Ростелекома» и «МТС», а в 2018 году в публичном доступе оказались данные Uber. Злоумышленники могут использовать информацию для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов.
У компаний, данные сотрудников и клиентов которых утекли в сеть, могут быть и более серьезные проблемы, считают аналитики. «Подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону „О персональных данных”», — объяснили в Infosecurity.
За нарушение закона компаниям грозят штрафы. С учетом принятых Госдумой в феврале поправок штраф для юридического лица составит 60–100 тыс. руб.
