Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Как ваши паспортные данные могут оказаться в сети

root

СисАдмин Форума
Teammitglied
Full members of NP "MOD"
Mitglied seit
17.02.2007
Beiträge
677
Punkte für Reaktionen
1.021
Punkte
93
Alter
57

Люди, сами того не зная, сливают свои паспортные данные, пароли и банковские карты прямо в руки хакеров. Показываем на реальных примерах!​


Сегодня затрону очень важную тему, а именно - разобрать, как ваши паспортные данные, пароли и прочие, интересные злоумышленникам вещи, оказались/могут оказаться в сети интернет.

Нашим сегодняшним "героем" становится онлайн-менеджер проектов Trello, публичные доски задач которого индексируются поисковыми системами и содержат просто невероятное количество конфиденциальной информации.

Для тех, кто не знает: Trello — это очень распространенная программа по организации личных дел и бизнеса.

Ну что, начнем охоту?​

  • Для начала представляю вам классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени:
001.jpg

реальные данные паспорта специально скрыты.

Думаете, пример выше - это единичный случай? Как бы не так! Еще 20 секунд моего времени и я вижу вот это:

002.jpg


Ну, а теперь чуть подробнее... В Trello есть 3 уровня конфиденциальности досок: приватная, командная и публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от доступных по ссылке видеороликов в YouTube, данные доски индексируются поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть до этого дело…

003.jpg


Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.

  • Давайте посмотрим, что нам выдаст google по запросу:
    Code:
    пароль site:trello.com
На первом месте в поисковой выдаче нам попадается ныне закрытая доска «СММ для Нины», на которой еще пару дней назад можно было найти логины и пароли от всех страниц кипрского фотографа Нины Королевой, в частности, от страницы
Code:
https://www.instagram.com/otkrovenno_nina/
.

004.jpg


Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на протяжение многих недель фигурировали на первых страницах поисковой выдачи Google.
Но Нина, вернее ее SMMщики — это лишь вершина айсберга.
Только вдумайтесь: банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.

  • Хотите пароли от Roblox? Пожалуйста:
005.jpg


Хотите пароли от инстаграма и прочих сервисов? Тысячи их!

006.jpg


Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на этой доске назначают ответственного за составление списка секс-шопов для BDSM-гостиницы:

007.jpg


Анализ размещенного в Trello контента показывает, что значительная часть публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек информации? Конечно нет.

008.jpg


Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и заканчивая разработкой.
  • Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков:
009.jpg


  • А вот расчет расходов на зарплату одного регионального медицинского центра:
010.jpg


На самом деле этот список можно продолжать бесконечно. Вы просто вводите в поиске
Code:
site:https://trello.com/b/
и наслаждаетесь результатом.

011.jpg

Пример публичной карточки компании, оказывающей своим клиентам помощь в участии в тендерах.

012.jpg


Продолжать можно бесконечно. В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций.

Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников.

Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем:
начиная от банальных взломов корпоративных Instagram-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.

Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у регулирующих органов – хранение сканов паспортов клиентов в публичном хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не соотносится с положениями Федерального закона «О персональных данных».
Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании этот процесс можно легко автоматизировать.

Возможно я пишу очевидные для наших читателей вещи, но практика показывает, что очевидны они далеко не для всех. Ну, а чтобы завершить мое повествование в позитивном ключе, я подготовил небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.

  • Начнем, пожалуй, с досок "русских невест", которые разводят доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают представление о том, как работает этот криминальный бизнес:
013.jpg


Trello действительно позволяет вывести командную работу на новый уровень — теперь разводить несчастных женихов можно целым коллективом.

014.jpg


015.jpg


016.jpg


Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку вебкам-индустрии:

017.jpg


Задачи «купить доширак» и «починить швабру» здесь соседствуют с обучением использованию страпона. Сугубо прагматичный подход.
  • Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов:
018.jpg


Но Trello — история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты таких досок и вторгаться в частную жизнь.

Зато можем понаблюдать за чужими успехами, это же не зазорно?
  • Вот, например, Георгий из Казахстана, который ставил себе весьма нетривиальные задачи на 2021 год:
019.jpg


К чему весь этот текст?

Вы можете сколь угодно выставлять напоказ свою личную жизнь, но когда вы используете публичный сервис, такой как Trello, будьте готовы к тому, что ваши конфиденциальные данные окажутся в руках у злоумышленников.

Хочу отметить тот факт, что в качестве примеров я привел самые безобидные вещи. В процессе анализа Trello мне попалось такое, что я просто не рискну публиковать, дабы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.


Источник
 
Original message

Люди, сами того не зная, сливают свои паспортные данные, пароли и банковские карты прямо в руки хакеров. Показываем на реальных примерах!​


Сегодня затрону очень важную тему, а именно - разобрать, как ваши паспортные данные, пароли и прочие, интересные злоумышленникам вещи, оказались/могут оказаться в сети интернет.

Нашим сегодняшним "героем" становится онлайн-менеджер проектов Trello, публичные доски задач которого индексируются поисковыми системами и содержат просто невероятное количество конфиденциальной информации.

Для тех, кто не знает: Trello — это очень распространенная программа по организации личных дел и бизнеса.

Ну что, начнем охоту?​

  • Для начала представляю вам классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени:
001.jpg

реальные данные паспорта специально скрыты.

Думаете, пример выше - это единичный случай? Как бы не так! Еще 20 секунд моего времени и я вижу вот это:

002.jpg


Ну, а теперь чуть подробнее... В Trello есть 3 уровня конфиденциальности досок: приватная, командная и публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от доступных по ссылке видеороликов в YouTube, данные доски индексируются поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть до этого дело…

003.jpg


Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.

  • Давайте посмотрим, что нам выдаст google по запросу:
    Code:
    пароль site:trello.com
На первом месте в поисковой выдаче нам попадается ныне закрытая доска «СММ для Нины», на которой еще пару дней назад можно было найти логины и пароли от всех страниц кипрского фотографа Нины Королевой, в частности, от страницы
Code:
https://www.instagram.com/otkrovenno_nina/
.

004.jpg


Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на протяжение многих недель фигурировали на первых страницах поисковой выдачи Google.
Но Нина, вернее ее SMMщики — это лишь вершина айсберга.
Только вдумайтесь: банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.

  • Хотите пароли от Roblox? Пожалуйста:
005.jpg


Хотите пароли от инстаграма и прочих сервисов? Тысячи их!

006.jpg


Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на этой доске назначают ответственного за составление списка секс-шопов для BDSM-гостиницы:

007.jpg


Анализ размещенного в Trello контента показывает, что значительная часть публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек информации? Конечно нет.

008.jpg


Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и заканчивая разработкой.
  • Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков:
009.jpg


  • А вот расчет расходов на зарплату одного регионального медицинского центра:
010.jpg


На самом деле этот список можно продолжать бесконечно. Вы просто вводите в поиске
Code:
site:https://trello.com/b/
и наслаждаетесь результатом.

011.jpg

Пример публичной карточки компании, оказывающей своим клиентам помощь в участии в тендерах.

012.jpg


Продолжать можно бесконечно. В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций.

Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников.

Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем:
начиная от банальных взломов корпоративных Instagram-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.

Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у регулирующих органов – хранение сканов паспортов клиентов в публичном хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не соотносится с положениями Федерального закона «О персональных данных».
Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании этот процесс можно легко автоматизировать.

Возможно я пишу очевидные для наших читателей вещи, но практика показывает, что очевидны они далеко не для всех. Ну, а чтобы завершить мое повествование в позитивном ключе, я подготовил небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.

  • Начнем, пожалуй, с досок "русских невест", которые разводят доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают представление о том, как работает этот криминальный бизнес:
013.jpg


Trello действительно позволяет вывести командную работу на новый уровень — теперь разводить несчастных женихов можно целым коллективом.

014.jpg


015.jpg


016.jpg


Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку вебкам-индустрии:

017.jpg


Задачи «купить доширак» и «починить швабру» здесь соседствуют с обучением использованию страпона. Сугубо прагматичный подход.
  • Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов:
018.jpg


Но Trello — история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты таких досок и вторгаться в частную жизнь.

Зато можем понаблюдать за чужими успехами, это же не зазорно?
  • Вот, например, Георгий из Казахстана, который ставил себе весьма нетривиальные задачи на 2021 год:
019.jpg


К чему весь этот текст?

Вы можете сколь угодно выставлять напоказ свою личную жизнь, но когда вы используете публичный сервис, такой как Trello, будьте готовы к тому, что ваши конфиденциальные данные окажутся в руках у злоумышленников.

Хочу отметить тот факт, что в качестве примеров я привел самые безобидные вещи. В процессе анализа Trello мне попалось такое, что я просто не рискну публиковать, дабы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.


Источник