Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Как ваши паспортные данные могут оказаться в сети

root

Teammitglied
Full members of NP "MOD"
Mitglied seit
17.02.2007
Beiträge
678
Punkte für Reaktionen
1.026
Punkte
93

Люди, сами того не зная, сливают свои паспортные данные, пароли и банковские карты прямо в руки хакеров. Показываем на реальных примерах!​


Сегодня затрону очень важную тему, а именно - разобрать, как ваши паспортные данные, пароли и прочие, интересные злоумышленникам вещи, оказались/могут оказаться в сети интернет.

Нашим сегодняшним "героем" становится онлайн-менеджер проектов Trello, публичные доски задач которого индексируются поисковыми системами и содержат просто невероятное количество конфиденциальной информации.

Для тех, кто не знает: Trello — это очень распространенная программа по организации личных дел и бизнеса.

Ну что, начнем охоту?​

  • Для начала представляю вам классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени:
001.jpg

реальные данные паспорта специально скрыты.

Думаете, пример выше - это единичный случай? Как бы не так! Еще 20 секунд моего времени и я вижу вот это:

002.jpg


Ну, а теперь чуть подробнее... В Trello есть 3 уровня конфиденциальности досок: приватная, командная и публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от доступных по ссылке видеороликов в YouTube, данные доски индексируются поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть до этого дело…

003.jpg


Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.

  • Давайте посмотрим, что нам выдаст google по запросу:
    Code:
    пароль site:trello.com
На первом месте в поисковой выдаче нам попадается ныне закрытая доска «СММ для Нины», на которой еще пару дней назад можно было найти логины и пароли от всех страниц кипрского фотографа Нины Королевой, в частности, от страницы
Code:
https://www.instagram.com/otkrovenno_nina/
.

004.jpg


Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на протяжение многих недель фигурировали на первых страницах поисковой выдачи Google.
Но Нина, вернее ее SMMщики — это лишь вершина айсберга.
Только вдумайтесь: банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.

  • Хотите пароли от Roblox? Пожалуйста:
005.jpg


Хотите пароли от инстаграма и прочих сервисов? Тысячи их!

006.jpg


Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на этой доске назначают ответственного за составление списка секс-шопов для BDSM-гостиницы:

007.jpg


Анализ размещенного в Trello контента показывает, что значительная часть публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек информации? Конечно нет.

008.jpg


Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и заканчивая разработкой.
  • Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков:
009.jpg


  • А вот расчет расходов на зарплату одного регионального медицинского центра:
010.jpg


На самом деле этот список можно продолжать бесконечно. Вы просто вводите в поиске
Code:
site:https://trello.com/b/
и наслаждаетесь результатом.

011.jpg

Пример публичной карточки компании, оказывающей своим клиентам помощь в участии в тендерах.

012.jpg


Продолжать можно бесконечно. В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций.

Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников.

Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем:
начиная от банальных взломов корпоративных Instagram-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.

Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у регулирующих органов – хранение сканов паспортов клиентов в публичном хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не соотносится с положениями Федерального закона «О персональных данных».
Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании этот процесс можно легко автоматизировать.

Возможно я пишу очевидные для наших читателей вещи, но практика показывает, что очевидны они далеко не для всех. Ну, а чтобы завершить мое повествование в позитивном ключе, я подготовил небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.

  • Начнем, пожалуй, с досок "русских невест", которые разводят доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают представление о том, как работает этот криминальный бизнес:
013.jpg


Trello действительно позволяет вывести командную работу на новый уровень — теперь разводить несчастных женихов можно целым коллективом.

014.jpg


015.jpg


016.jpg


Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку вебкам-индустрии:

017.jpg


Задачи «купить доширак» и «починить швабру» здесь соседствуют с обучением использованию страпона. Сугубо прагматичный подход.
  • Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов:
018.jpg


Но Trello — история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты таких досок и вторгаться в частную жизнь.

Зато можем понаблюдать за чужими успехами, это же не зазорно?
  • Вот, например, Георгий из Казахстана, который ставил себе весьма нетривиальные задачи на 2021 год:
019.jpg


К чему весь этот текст?

Вы можете сколь угодно выставлять напоказ свою личную жизнь, но когда вы используете публичный сервис, такой как Trello, будьте готовы к тому, что ваши конфиденциальные данные окажутся в руках у злоумышленников.

Хочу отметить тот факт, что в качестве примеров я привел самые безобидные вещи. В процессе анализа Trello мне попалось такое, что я просто не рискну публиковать, дабы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.


Источник
 
Original message

Люди, сами того не зная, сливают свои паспортные данные, пароли и банковские карты прямо в руки хакеров. Показываем на реальных примерах!​


Сегодня затрону очень важную тему, а именно - разобрать, как ваши паспортные данные, пароли и прочие, интересные злоумышленникам вещи, оказались/могут оказаться в сети интернет.

Нашим сегодняшним "героем" становится онлайн-менеджер проектов Trello, публичные доски задач которого индексируются поисковыми системами и содержат просто невероятное количество конфиденциальной информации.

Для тех, кто не знает: Trello — это очень распространенная программа по организации личных дел и бизнеса.

Ну что, начнем охоту?​

  • Для начала представляю вам классический пример того, что можно найти на публичных досках Trello, потратив на это 20 секунд своего времени:
001.jpg

реальные данные паспорта специально скрыты.

Думаете, пример выше - это единичный случай? Как бы не так! Еще 20 секунд моего времени и я вижу вот это:

002.jpg


Ну, а теперь чуть подробнее... В Trello есть 3 уровня конфиденциальности досок: приватная, командная и публичная. Публичные доски доступны по ссылке, но, в отличие, скажем, от доступных по ссылке видеороликов в YouTube, данные доски индексируются поисковыми системами, о чем прямо написано в описании на сайте. Но кому есть до этого дело…

003.jpg


Впервые история с публичными досками Trello была поднята на слух еще несколько лет назад. Была выпущена пара десятков статей, в которых говорилось о том, что не стоит размещать конфиденциальные данные на публичных досках Trello, однако, как обычно все обсудили и забыли.

  • Давайте посмотрим, что нам выдаст google по запросу:
    Code:
    пароль site:trello.com
На первом месте в поисковой выдаче нам попадается ныне закрытая доска «СММ для Нины», на которой еще пару дней назад можно было найти логины и пароли от всех страниц кипрского фотографа Нины Королевой, в частности, от страницы
Code:
https://www.instagram.com/otkrovenno_nina/
.

004.jpg


Искренне надеемся, что Нина поменяла все логины-пароли, так как все они на протяжение многих недель фигурировали на первых страницах поисковой выдачи Google.
Но Нина, вернее ее SMMщики — это лишь вершина айсберга.
Только вдумайтесь: банальный запрос password при поиске по сайту Trello выдает нам более 9 тысяч результатов.

  • Хотите пароли от Roblox? Пожалуйста:
005.jpg


Хотите пароли от инстаграма и прочих сервисов? Тысячи их!

006.jpg


Trello вскрывает насущные проблемы малого и среднего бизнеса. Например, на этой доске назначают ответственного за составление списка секс-шопов для BDSM-гостиницы:

007.jpg


Анализ размещенного в Trello контента показывает, что значительная часть публичных досок принадлежит SMMщикам и маркетологам. Но означает ли это, что именно они становятся основной причиной непредумышленных утечек информации? Конечно нет.

008.jpg


Пароли просто лежат в проектах. Самых разных проектах, начиная от маркетинга и заканчивая разработкой.
  • Вот, к примеру, пароли одного индивидуального предпринимателя для доступа в систему дистанционного банковского обслуживания сразу 6 банков:
009.jpg


  • А вот расчет расходов на зарплату одного регионального медицинского центра:
010.jpg


На самом деле этот список можно продолжать бесконечно. Вы просто вводите в поиске
Code:
site:https://trello.com/b/
и наслаждаетесь результатом.

011.jpg

Пример публичной карточки компании, оказывающей своим клиентам помощь в участии в тендерах.

012.jpg


Продолжать можно бесконечно. В Trello обнаруживаются доски, созданные сотрудниками госучреждений и государственных корпораций.

Естественно, это совершенно нездоровая ситуация как с точки зрения корпоративной безопасности, так и с точки зрения обращения с персональными данными клиентов и сотрудников.

Размещенные в общем доступе сведения могут быть использованы в десятках самых разных преступных схем:
начиная от банальных взломов корпоративных Instagram-аккаунтов (волна подобных взломов, кстати, прокатилась прошлой осенью) и заканчивая социотехническими атаками на организации и их клиентов.

Кроме того, подобная практика ведения бизнеса может вызвать вопросы и у регулирующих органов – хранение сканов паспортов клиентов в публичном хранилище (а еще и размещенном за рубежом) слабо, а вернее никак не соотносится с положениями Федерального закона «О персональных данных».
Глупо было бы предполагать, что эти сведения не попадут или уже не попали в руки злоумышленников. В Trello вполне комфортно искать нужные данные вручную, но при желании этот процесс можно легко автоматизировать.

Возможно я пишу очевидные для наших читателей вещи, но практика показывает, что очевидны они далеко не для всех. Ну, а чтобы завершить мое повествование в позитивном ключе, я подготовил небольшую подборку занятных артефактов, найденных в процессе анализа данных Trello.

  • Начнем, пожалуй, с досок "русских невест", которые разводят доверчивых иностранцев. Доски достаточно старые, однако, они отлично дают представление о том, как работает этот криминальный бизнес:
013.jpg


Trello действительно позволяет вывести командную работу на новый уровень — теперь разводить несчастных женихов можно целым коллективом.

014.jpg


015.jpg


016.jpg


Ну ладно, с фейковыми невестами разобрались, теперь Trello откроет нам изнанку вебкам-индустрии:

017.jpg


Задачи «купить доширак» и «починить швабру» здесь соседствуют с обучением использованию страпона. Сугубо прагматичный подход.
  • Уже знакомый нам BDSM-отель не стесняясь демонстрирует всему миру внутреннюю документацию и под сотню паролей от всех мыслимых аккаунтов:
018.jpg


Но Trello — история не только для бизнеса, среди открытых досок можно найти сотни страниц людей, которые строят планы на будущее и обсуждают подробности личной жизни, попутно делясь ими со всем интернетом. Здесь есть все: и планы по соблазнению однокурсниц, и график реализации сексуальных фантазий, и 10 шагов к похудению к пляжному сезону. Мы не будем публиковать ссылки или скриншоты таких досок и вторгаться в частную жизнь.

Зато можем понаблюдать за чужими успехами, это же не зазорно?
  • Вот, например, Георгий из Казахстана, который ставил себе весьма нетривиальные задачи на 2021 год:
019.jpg


К чему весь этот текст?

Вы можете сколь угодно выставлять напоказ свою личную жизнь, но когда вы используете публичный сервис, такой как Trello, будьте готовы к тому, что ваши конфиденциальные данные окажутся в руках у злоумышленников.

Хочу отметить тот факт, что в качестве примеров я привел самые безобидные вещи. В процессе анализа Trello мне попалось такое, что я просто не рискну публиковать, дабы не ставить под угрозу конкретные организации. И все это продолжает в открытом виде лежать в сети.


Источник

До нового года осталось