{"id":26963,"date":"2021-04-23T13:32:29","date_gmt":"2021-04-23T11:32:29","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26963"},"modified":"2021-04-23T13:32:29","modified_gmt":"2021-04-23T11:32:29","slug":"trello-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/trello-data-leaks\/26963\/","title":{"rendered":"Trello-datalek"},"content":{"rendered":"

De gegevens van gebruikers van honderden grote en duizenden kleine bedrijven zijn volgens een aantal nieuwsberichten<\/a> via Trello gelekt. Het was geen lek in de traditionele zin van het woord; de bedrijven gebruikten Trello al jaren zonder de moeite te hebben genomen om de privacyinstellingen goed te configureren, en de huidige ophef is veroorzaakt door een aantal onderzoekers die die informatie openbaar hebben gemaakt.<\/p>\n

Eerlijkheidshalve moet worden gezegd dat er elke paar jaar wel weer meldingen zijn van een ander bedrijf dat belangrijke gegevens openlijk in Trello opslaat. Onderzoeker Kushagra Pathak probeerde dit probleem drie jaar geleden al aan te stippen op Medium<\/a>. Helaas hebben dit soort waarschuwingen vaak slechts een kortstondig effect.<\/p>\n

Wat er werd gelekt en waarom<\/h2>\n

Trello-leden gebruiken boards om aan projecten samen te werken. De boards zijn standaard priv\u00e9 \u2014 niet zichtbaar voor mensen buiten het team \u2014 maar als gebruikers een board aan iemand moeten laten zien die geen deel uitmaakt van het team, veranderen ze de zichtbaarheid van het board naar openbaar<\/em>. Vanaf dat moment kan elke gebruiker het board openen via een directe link, en zoekmachines indexeren de informatie die erop staat. De toegang tot elk board wordt apart geconfigureerd.<\/p>\n

Een goed opgezette zoekopdracht kan tal van openbare boards onthullen die aan verschillende bedrijven toebehoren. Hierdoor vindt men inloggegevens voor websites, scans van documenten en vertrouwelijke bedrijfsdiscussies, die verschillende onderzoekers dus ook hebben gevonden en gepubliceerd.<\/p>\n

Ongeautoriseerde toegang tot de Trello-werkplek van uw bedrijf kan voor problemen zorgen, ook als er geen vertrouwelijke documenten of wachtwoorden opstaan. Aanvallers kunnen bedrijfsinformatie gebruiken om hun social engineering-aanvallen overtuigender te maken, door bijvoorbeeld correspondentie te beginnen met een werknemer en hun waakzaamheid te verminderen door details over huidige projecten te vermelden.<\/p>\n

Trello configureren om informatie priv\u00e9 te houden<\/h2>\n

Door slechts twee instellingen te wijzigen kunt u ervoor zorgen dat zoekmachines de gegevens in uw Trello-werkplek niet indexeren. De minder belangrijke is de werkplekzichtbaarheid, en belangrijker is de zichtbaarheid van elk board.<\/p>\n

Werkplekken hebben twee instellingen voor zichtbaarheid: priv\u00e9 en openbaar. De keuze is duidelijk.<\/p>\n

\"\"

Zichtbaarheidsinstellingen Trello-werkplek<\/p><\/div>\n

Boards bieden meer opties: priv\u00e9 (alleen board-leden hebben toegang), werkplek (alle werkplek-leden hebben toegang), organisatie (alle werknemers hebben toegang \u2014 deze is alleen voor zakelijke accounts), en openbaar (iedereen heeft toegang). De huidige Trello-interface biedt een duidelijke beschrijving van de zichtbaarheidsopties, die suggereren dat nieuwsgierigen op het web alleen toegang hebben tot openbare boards, dus elke andere optie dan \u201copenbaar\u201d had dit zogenaamde lek kunnen voorkomen.<\/p>\n

\"\"

Zichtbaarheidsinstellingen voor boards<\/p><\/div>\n

We geloven dat aan werk gerelateerde informatie beperkt moet zijn tot een minimumaantal werknemers, en daarom is gebruik van de priv\u00e9-optie altijd beter. Het is iets meer werk \u2014 iemand zal moeten beheren wie er precies toegang heeft tot welk board \u2014 maar het helpt bij het garanderen van de integriteit van informatie.<\/p>\n

Veilige samenwerking garanderen<\/h2>\n

Het configureren van uw Trello-boards voor de geschikte zichtbaarheid voorkomt dat de informatie erop openbaar beschikbaar wordt. Overweeg ook deze belangrijke maatregelen:<\/p>\n