Kushagra Patakは情報セキュリティを扱っています。 4月25日、彼は、多くの個人や企業がTrelloの公開掲示板に機密情報を投稿していることを発見しました。 特に、プログラムの未修正のエラーと脆弱性に関する情報、ソーシャルネットワークと郵便サービスのアカウントの資格情報、サーバーと管理コントロールパネルにアクセスするための名前とパスワードについて話します。 これらはすべて、他の同様の情報と同様に、すべての検索エンジンにインデックスを付けるTrelloの公開アクセス可能な掲示板にあり、誰でもこの情報を見つけることができます。 本日翻訳した資料は、この発見がどのように行われたかに焦点を当てます。
履歴を探す
Bug Bountyプログラムを提供する会社が所有する
Jiraのインスタンスを探していました。 このため、次の検索クエリが使用されました。
inurl:jira AND intitle:login AND inurl:[company_name]
いわゆる
Google dorkクエリを使用したという事実に注目してください。 このようなクエリは、
高度な検索演算子を含む検索文字列です。 これらは、検索エンジンによってインデックス付けされた情報の検索に使用されますが、サイトでの通常の作業中は利用できません。
実験中、上記のクエリで、
[company_name]代わりに
Trello導入し
Trello 。 Googleはいくつかの結果を生成しました-Trelloパブリックボードへのリンク。 これらには、いくつかのJiraインスタンスに接続するためのデータが含まれていました。 UTCの午前8時19分に発生しました。
私はこの発見に完全にショックを受けました。
なぜこれが問題なのですか? 実際、
Trelloはプロジェクトと個人のタスクを管理するために設計されたオンラインツールです。 ボードと呼ばれるエンティティがあり、プロジェクトとタスクの管理に使用されます。 ユーザーは、特に
または
設定することにより、ボードの可視性をカスタマイズできます。
上記の問題を発見した後、メールボックスにアクセスするための情報など、他のデータの安全でないストレージに関連する同様の脆弱性を探すことは興味深いと思いました。
次に、Gmailアカウントのパスワードを含むTrelloボードを見つけることを目的として、リクエストを変更しました。
inurl:https://trello.com AND intext:@gmail.com AND intext:password
それが検索エンジンが提供したものです。
メールボックスにアクセスするための資格情報でTrelloホワイトボードを検索するSSHとFTPはどうですか?
inurl:https://trello.com AND intext:ftp AND intext:password inurl:https://trello.com AND intext:ssh AND intext:password
これらのリクエストによって何かが見つかりました。
SSHおよびFTPアカウントのアクセスデータでTrelloボードを検索する検索の継続
数時間クエリを試した後、他の興味深いことを発見しました。 それらはクエリを修正することで発見されました。
一部の企業は、Trelloの公開掲示板を使用して、アプリケーションやWebサイトで発見されたバグや脆弱性に関連する作業を管理しています。
脆弱性情報掲示板さらに、一般の人々は、Trelloの公開掲示板を、彼らが働いている会社の資格情報の素晴らしい公開パスワードマネージャーとして使用しています。
私たちが見つけた例には、サーバー、CMSシステム、CRMシステム、Web分析システムへのアクセスに関するデータがあります。 また、企業メールボックスの名前とパスワード、ストライプ、AdWords、ソーシャルネットワークのアカウントもありました。 そして、これは発見の完全なリストではありません。
機密情報を含むTrelloパブリックボード別の例を示します。
個人データと財務情報を含むデータベースに関する情報が公開されています。これをすべて発見する前に、特定の会社やバグバウンティプログラムを対象とした調査は行いませんでした。
しかし、このTrelloの脆弱性を発見してから9時間後に、機密データを漏らした約25社の連絡先の詳細を見つけ、問題を通知しました。 ところで、この連絡先情報を見つけることはそれほど簡単ではありませんでした。
また、バグバウンティプログラムに参加する人が使用するプライベートSlackチャンネルと、情報セキュリティ専用のDiscordチャンネルにも録音しました。 脆弱性を発見した直後、対応する
ツイートを投稿しました。 それを知った人々の反応は私のようだった。
その後、企業のメールボックス、Jiraインスタンス、およびBug Bountyプログラム内の他の機密情報にアクセスするためのデータを検索するために発見した脆弱性を利用した人からメッセージを受信し始めました。
脆弱性レポートに対する視聴者の反応ここで説明した脆弱性を発見してから約10時間後、Bug Bountyプログラムを持つ企業の調査に集中しました。 次に、次の形式の問い合わせを使用して、車両共有を組織している有名な会社をチェックしました。
inurl:https:
私はすぐに、この会社の従業員の会社のメールボックスにアクセスするためのデータを含むTrelloホワイトボードと、明らかに他の人を対象としていない情報を含む別のホワイトボードを見つけました。
私が見つけたのは、誤ってパブリックドメインに侵入した本当に秘密のデータであることを確認するために、この会社のセキュリティサービスの従業員に連絡しました。 これらの問題についてはすでに通知されていると言われましたが、検出された脆弱性に関する完全なレポートを送信するように依頼されました。 残念なことに、私のレポートは2番目のレポートとして閉じられました。会社が後で同じ脆弱性に関するレポートを既に受け取っていることを発見したためです。 その後、別の15社で同様の問題を報告しました。 それらのいくつかは大規模な組織でしたが、それらの多くはBug Bountyプログラムを持っていませんでした。 確かに、そのうちの1人がそのようなプログラムを持っていて、このプログラムのフレームワーク内で見つかった問題を報告しました。 残念ながら、私は彼らから報酬を受け取りませんでした。なぜなら、私が見つけた問題は、彼らが検出するために支払う意思がある脆弱性には当てはまらないからです。
親愛なる読者! 機密情報の漏洩についてTrelloのボードをすでにチェックしましたか?