Hvordan jeg brugte en enkel Google-forespørgsel til at udnytte adgangskoder fra snesevis af offentlige Trello-tavler

For et par dage siden den 25. april, mens jeg undersøgte, fandt jeg, at mange enkeltpersoner og virksomheder lægger deres følsomme oplysninger på deres offentlige Trello-bestyrelser. Oplysninger som ukomplicerede fejl og sikkerhedsmæssige sårbarheder, legitimationsoplysningerne på deres sociale mediekonti, e-mail-konti, server- og admin-dashboards - hvis du hedder det, er tilgængelig på deres offentlige Trello Boards, som indekseres af alle søgemaskiner, og enhver kan let finde dem .

Hvordan opdagede jeg dette?

Jeg søgte efter Jira-forekomster af virksomheder, der kørte Bug Bounty-programmer med følgende søgeforespørgsel:

inurl: jira OG intitle: login AND inurl: [company_name]
Bemærk: Jeg brugte en Google dork-forespørgsel, sommetider benævnt en dork. Det er en søgestreng, der bruger avancerede søgeoperatører til at finde oplysninger, der ikke er let tilgængelige på et websted. - WhatIs.com

Jeg kom ind på Trello i stedet for [firmanavn]. Google præsenterede et par resultater på Trello Boards. Deres synlighed var indstillet til Offentlig, og de viste loginoplysninger til nogle Jira-tilfælde. Det var omkring 8:19, UTC.

Jeg var så chokeret og forbløffet

Så hvorfor var dette et problem? Nå, Trello er et online værktøj til styring af projekter og personlige opgaver. Og det har tavler, der bruges til at styre disse projekter og opgaver. Brugeren kan indstille synligheden af ​​deres tavler til Privat eller Offentlig.

Efter at have fundet denne fejl, tænkte jeg - hvorfor ikke tjekke for andre sikkerhedsproblemer som legitimationsoplysninger om e-mail-kontoen?

Jeg fortsatte med at ændre min søgeforespørgsel for at fokusere på Trello-tavler, der indeholder adgangskoder til Gmail-konti.

inurl: https: //trello.com OG intext: @ gmail.com OG intext: password

Og hvad med SSH og FTP?

inurl: https: //trello.com AND intext: ftp AND intext: password
inurl: https: //trello.com AND intext: ssh AND intext: password

Hvad ellers fandt jeg

Efter at have brugt et par timer på at bruge denne teknik, afslørede jeg flere fantastiske opdagelser. Alt sammen mens jeg fortsatte med at ændre min søgeforespørgsel.

Nogle virksomheder bruger Public Trello-boards til at administrere fejl og sikkerhedssårbarheder, der findes i deres applikationer og websteder.

Folk bruger også Public Trello-tavler som en fancy offentlig adgangskodeadministrator til deres organisations legitimationsoplysninger.

Nogle eksempler inkluderede serveren, CMS, CRM, forretnings-e-mails, konti på sociale medier, webstedsanalyse, Stripe, AdWords-konti og meget mere.

Eksempler på offentlige Trello-tavler, der indeholder følsomme legitimationsoplysninger

Her er et andet eksempel:

En NGO, der deler loginoplysninger til deres Donor Management Software (database), som indeholdt en masse PII (personligt identificerbare oplysninger), og detaljer som donor og økonomiske poster

Indtil da fokuserede jeg ikke på noget specifikt firma eller Bug Bounty-programmer.

Men ni timer efter at jeg opdagede denne ting, havde jeg fundet kontaktoplysningerne for næsten 25 virksomheder, der lækkede nogle meget følsomme oplysninger. Så jeg rapporterede dem. At finde kontaktoplysninger for nogle af dem var en kedelig og udfordrende opgave.

Jeg postede om dette i en privat Slack af bug-dusørjægere og en infosec Discord-server. Jeg tweetede også om dette lige efter at have opdaget denne Trello-teknik. Menneskerne der var så forbløffet og forbløffet som jeg var.

Så begyndte folk at fortælle mig, at de kunne finde fede ting som forretningsemails, Jira-legitimationsoplysninger og følsomme interne oplysninger om Bug Bounty-programmer gennem den Trello-teknik, jeg delte.

Næsten 10 timer efter at have opdaget denne Trello-teknik, begyndte jeg at teste virksomheder, der kører Bug Bounty-programmer specifikt. Derefter begyndte jeg med at tjekke et velkendt ridesharing-firma ved hjælp af søgeforespørgslen.

inurl: https: //trello.com AND intext: [firma_navn]

Jeg fandt øjeblikkeligt et Trello-bord, der indeholdt loginoplysninger om en medarbejders forretnings-e-mail-konto og en anden, der indeholdt nogle interne oplysninger.

For at bekræfte dette kontaktede jeg nogen fra deres sikkerhedsteam. De sagde, at de havde modtaget en rapport om bestyrelsen, der indeholdt e-mail-legitimationsoplysninger fra en medarbejder lige før min, og om det andet bestyrelse, der indeholdt nogle interne oplysninger. Sikkerhedsteamet bad mig om at forelægge en komplet rapport til dem, fordi dette er et nyt fund.

Desværre blev min rapport lukket som et duplikat. Ridesharing-selskabet fandt senere ud af, at de allerede havde modtaget en rapport om det Trello-bord, jeg fandt.

I de kommende dage rapporterede jeg spørgsmål til 15 virksomheder mere om deres Trello-bestyrelser, der lækkede meget følsomme oplysninger om deres organisationer. Nogle var store virksomheder, men mange kører ikke et Bug Bounty-program.

Et af de 15 virksomheder kørte imidlertid et Bug Bounty-program, så jeg rapporterede til dem gennem det. Desværre har de ikke belønnet mig, fordi det var et spørgsmål, som de i øjeblikket ikke betaler for.

Opdatering - 18. maj 2018:

Og lige den anden dag fandt jeg en flok offentlige Trello Boards indeholdende virkelig følsomme oplysninger (inklusive loginoplysninger!) Om en regering. Fantastiske!

Den næste web- og sikkerhedsanliggender har også rapporteret om dette.

Opdatering - 17. august 2018:

I de seneste måneder havde jeg opdaget i alt 50 trello-bestyrelser fra de britiske og canadiske regeringer indeholdende interne fortrolige oplysninger og legitimationsoplysninger. Intercept skrev en detaljeret artikel om det her.

Opdatering - 24. september 2018:

I august fandt jeg 60 offentlige Trello-bestyrelser, en offentlig Jira og en masse Google Docs fra FN, som indeholdt legitimationsoplysninger til flere FTP-servere, sociale medier & e-mail-konto, masser af intern kommunikation og dokumenter. Intercept skrev en detaljeret artikel om det her.

Tak for at have læst min historie.

Hvis du kunne lide denne artikel, så giv mig nogle klap

Og du kan følge mig på Twitter ️

Jeg vil gerne takke CyberSecStu, Toffee og freeCodeCamp-redaktionerne for at have hjulpet mig med at læse og redigere denne artikel.