نشت اطلاعات کاربری در برنامه مدیریتِ کارِ Trello

05 اردیبهشت 1400 نشت اطلاعات کاربری در برنامه مدیریتِ کارِ Trello

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بر اساس برخی گزارشات رسانه‌ای، داده‌های کاربری متعلق  به صدها شرکت بزرگ و هزاران شرکت کوچک نشت شده است. البته شاید نشود اسمش را نشت اطلاعاتی به معنای عام و همیشگی‌اش گذاشت. شرکت‌ها سال‌هاست از Trello استفاده می‌کنند؛ آن‌ هم بدون آنکه به خودشان زحمت تنظیمات حریم خصوصی بدهند و حالا محققین در واقع همین بی‌مبالاتی‌ها را عمومی کرده‌اند. در حقیقت هر چند سال یک بار گزارشاتی دریافت می‌شود مبنی بر نشت داده‌های مهم شرکت‌هایی که آشکارا در Trello ذخیره شده‌اند. کوشاگارا پاتاکِ محقق سه سال پیش سعی داشت به این مسئله بپردازد اما متأسفانه چنین هشدارهایی تنها برای مدت کوتاهی تأثیرگذار بود. در ادامه با ما همراه شوید تا این رخداد را مورد بررسی قرار دهیم.

چه چیزی نشت پیدا کرد و علت چه بود؟

اعضای برنامه ترلو از بوردها برای مشارکت روی پروژه‌ها استفاده می‌کنند. این بوردها به طور پیش‌فرض خصوصی هستند –و هیچکس غیر از اعضای تیم نمی‌تواند آن‌ها را مشاهده کند- اما وقتی کاربران نیاز دارند بورد را نه فقط به تیم بلکه به هر کسی نشان دهند آن‌ها قابلیت دید بورد را روی حالت همگانی می‌گذارند. در چنین موقعیتی هر کاربر می‌تواند بورد را با لینکی مستقیم باز کرده و موتورهای جست‌وجو می‌توانند اطلاعات را روی آن فهرست‌بندی کنند. دسترسی به هر بورد به طور جداگانه تنظیم می‌شود. یک جستار جست‌وجو که به درستی فرم‌بندی شده است می‌تواند کلی بورد عمومی را که به شرکت‌های مختلف متعلق است آشکار کند. از میان آن‌ها، اطلاعات محرمانه وبسایت، اسکن‌های داکیومنت و بحث‌هایی در خصوص مسائل محرمان کسب وکار (بسیاری از محققین این نشتی‌ها را پیدا کرده و در خصوصشان مطلب ارائه داده‌اند) در معرض آسیب‌پذیری قرار می‌گیرند. دسترسی غیرقانونی به فضای کار Trello شرکت شما می‌تواند دردساز شود حتی اگر چندان هم داکیومنت مهم یا پسورد آنجا ذخیره نشده باشد. مهاجمین می‌توانند از این اطلاعات کسب و کار برای اجرای حملات مهندسی اجتماعی‌شان و قانونی‌تر جلوه دادن آن‌ها استفاده کنند. برای مثال می‌توانند مکاتبه‌ای را با یک کارمند شروع کنند و با اشاره به جزئیات پروژه‌های فعلی حس احتیاط آن‌ها را از بین ببرند.

انجام تنظیمات روی Trello برای خصوصی نگه داشتن اطلاعات

با تغییر دو تنظیمات می‌توانید جلوی فهرست‌بندی داده‌ها در فضای کار Trello خود را توسط موتورهای جست‌وجو بگیرید. قابلیت دید فضای کاری شاید از اهمیت کمتری برخوردار باشد اما آنچه بسیار مهم است قابلیت دید هر بورد است. فضاهای کاری دو تنظیمات قابلیت دید دارند: خصوصی و عمومی. و خود حق انتخاب‌ها واضح است.

بوردها اجازه‌ی گزینه‌های بیشتری را می‌دهند: خصوصی (تنها اعضای بورد دسترسی دارند)، فضای کاری (همه اعضای فضای کاری دسترسی دارند)، سازمان (همه کارمندان دسترسی دارند- این تنها مختص اکانت‌های تجاری است)، و عمومی (همه دسترسی دارند). رابط فعلی Trello شرح واضحی از گزینه‌های قابلیت دید می‌دهد که پیشنهاد می‌دهد خزنده‌های وبی[1] تنها به بوردهای عمومی دسترسی داشته باند تا هر گزینه‌ی دیگری به غیر از گزینه عمومی از نشت داده در امان باشد.

ما معتقدیم اطلاعات مربوط به کار باید فقط به کارمندان محدود شود و از این رو استفاده از گزینه‌ی خصوصی همیشه بهترین راه است. شاید کمی پیچیده باشد (فرد باید مدیریت کند چه کسی به چه بوردی دسترسی دارد) اما در آخر انسجام داده‌ها تضمین داده خواهدشد.

تضمین مشارکتی امن

انجام تنظیمات روی بوردهای Trello برای جلوی عمومی شدن اطلاعات را در این برنامه خواهد گرفت. برخی از این اقدامات عبارتند از:

  • به دقت فهرست کاربرانی را که به فضای کار Trello شما و هر بورد دیگری دسترسی دارند مدیریت کنید. اگر کسی پروژه را رها کرد، تیم یا کل شرکت باید دسترسی آن‌ها را بلافاصه قطع کند.
  • کارمندان خود را در خصوص اهمیت استفاده از پسوردهای قوی آموزش دهید و توصیه کنید گزینه احراز هویت دو عاملی Trello را فعالسازی نمایند.
  • تضمین دهید که هر کارمندی که مسئول بخش امنیت اطلاعات است بداند کارمندان باید از چه ابزارهای مشارکت آنلاینی استفاده کنند و چه اطلاعاتی را باید در آن ابزارها و سرویس‌ها ذخیره کنند. این اطلاعات لازمه‌ی برآورد ریسک‌ها و ساخت مدل تهدید است.
  • روی هر کامپیوتر راهکار امنیتی نصب کنید و در نظر داشته باشید که هر ابزار مشارکتی می‌تواند به کانالی برای پخش تهدیدهای سایبری (فایل‌ها یا لینک‌های آلوده) تبدیل شود.

 

[1]یک برنامه‌ رایانه‌ای است که توانایی مرور و ثبت اطلاعات را از وب‌سایت‌ها به صورت خودکار دارد.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد