Как използвах обикновена заявка в Google за извличане на пароли от десетки обществени дъски на Trello

Преди няколко дни на 25 април, докато проучвах, установих, че много хора и компании пускат чувствителната си информация в своите публични бордове Trello. Информация като нефиксирани грешки и уязвимости в сигурността, идентификационните данни на техните акаунти в социалните медии, имейл акаунти, сървърни и администраторски табла за управление - вие го наречете, е налична в техните публични бордове Trello, които се индексират от всички търсачки и всеки може лесно да ги намери ,

Как открих това?

Потърсих случаи на Jira на компании, изпълняващи програми за програми за Bounty със следната заявка за търсене:

inurl: jira AND intitle: вход AND inurl: [име на фирма]
Забележка: Използвах заявка на Google dork, понякога наричана dork. Това е низ за търсене, който използва разширени оператори за търсене, за да намери информация, която не е лесно достъпна на уебсайт. - WhatIs.com

Влязох в Trello на мястото на [името на компанията]. Google представи няколко резултата в бордовете на Trello. Тяхната видимост беше зададена на Public и те показаха данни за вход в някои случаи на Jira. Беше около 8:19 сутринта, UTC.

Бях толкова шокирана и изумена

Така че защо това беше проблем? Е, Trello е онлайн инструмент за управление на проекти и лични задачи. И има бордове, които се използват за управление на тези проекти и задачи. Потребителят може да зададе видимостта на своите табла на Частни или Публични.

След като открих този недостатък, си помислих - защо да не проверя за други проблеми със сигурността като идентификационни данни на имейл акаунта?

Продължих да модифицирам заявката си за търсене, за да се съсредоточа върху дъските Trello, съдържащи паролите за акаунти в Gmail.

inurl: https: //trello.com И intext: @ gmail.com И intext: парола

А какво да кажем за SSH и FTP?

inurl: https: //trello.com И intext: ftp И intext: парола
inurl: https: //trello.com И intext: ssh И intext: парола

Какво друго открих

След като прекарах няколко часа, използвайки тази техника, разкрих по-невероятни открития. През цялото време непрекъснато променях заявката си за търсене.

Някои компании използват Public Trello табла за управление на грешки и уязвимости в сигурността, намерени в техните приложения и уебсайтове.

Хората също използват Public Trello табла като фантастичен мениджър на публични пароли за пълномощията на организацията си.

Някои примери включваха сървъра, CMS, CRM, бизнес имейли, акаунти в социални медии, анализиране на уебсайтове, Stripe, акаунти в AdWords и много други.

Примери за публични бордове на Trello, които съдържат чувствителни идентификационни данни

Ето още един пример:

НПО, споделяща данни за вход в своя софтуер за управление на донори (база данни), който съдържаше много PII (лична информация) и подробности като донори и финансови записи

Дотогава не бях съсредоточена върху някаква конкретна компания или Bug Bounty програми.

Но девет часа след като открих това нещо, бях намерил данни за контакт на почти 25 компании, които изтичаха много чувствителна информация. Затова ги отчетох. Намирането на данни за контакт за някои от тях беше досадна и предизвикателна задача.

Публикувах за това в частен Slack на ловци на бъгове и на сървър infosec Discord. Аз също туитвах за това веднага след като открих тази техника на Trello. Хората там бяха толкова изумени и учудени, колкото и аз.

Тогава хората започнаха да ми казват, че намират готини неща като бизнес имейли, идентификационни данни на Джира и чувствителна вътрешна информация за програмите за програми за бъгове чрез техниката Trello, която споделих.

Почти 10 часа след като открих тази техника на Trello, започнах да тествам компании, работещи специално с Bug Bounty програми. Тогава започнах с проверка на добре позната компания за споделяне на спортове, използвайки заявката за търсене.

inurl: https: //trello.com И intext: [име на фирма]

Веднага намерих борда на Trello, който съдържаше данни за вход в бизнес имейл акаунта на служителя, и друг, който съдържаше вътрешна информация.

За да проверя това, се свързах с някой от техния екип по сигурността. Те казаха, че са получили доклад за Съвета, съдържащ идентификационни данни на служител точно преди моя, и за другия съвет, съдържащ някаква вътрешна информация. Екипът по сигурността ме помоли да им представя пълен доклад, защото това е нова констатация.

За съжаление докладът ми се затвори като дубликат. По-късно компанията за споделяне на разходки разбра, че вече са получили доклад за борда на Trello, който намерих.

В следващите дни докладвах проблеми на още 15 компании за техните съвети Trello, които изтичаха изключително чувствителна информация за техните организации. Някои от тях бяха големи компании, но много от тях не изпълняват програма за бъг баунти.

Една от 15-те компании обаче изпълняваше програма за програми за бъгове, така че аз им докладвах чрез нея. За съжаление не ме наградиха, защото това беше проблем, за който в момента не плащат.

Актуализация - 18 май 2018 г.:

И точно онзи ден намерих куп публични бордове на Trello, съдържащи наистина чувствителна информация (включително данни за вход!) На правителство. Невероятно!

Следващите въпроси за мрежата и сигурността също са докладвали за това.

Актуализация —17 август 2018 г.:

През последните месеци бях открил общо 50 съвета на Trello на британското и канадското правителство, съдържащи вътрешна поверителна информация и идентификационни данни. Интерцептът написа подробна статия за това тук.

Актуализация —24 септември 2018 г.:

През август намерих 60 публични табла Trello, публичен Джира и куп Google Документи на ООН, които съдържаха идентификационни данни на множество FTP сървъри, социални медии и имейл акаунт, много вътрешна комуникация и документи. Интерцептът написа подробна статия за това тук.

Благодаря, че прочетох моята история.

Ако тази статия ви е харесала, дайте ми няколко хлопки

И можете да ме последвате в Twitter ️

Бих искал да благодаря на CyberSecStu, Toffee и на редакционния екип на freeCodeCamp, които ми помогнаха да препрочитам и редактирам тази статия.