نشت اطلاعات کاربری در برنامه مدیریتِ کارِ Trello

05 اردیبهشت 1400 نشت اطلاعات کاربری در برنامه مدیریتِ کارِ Trello

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بر اساس برخی گزارشات رسانه‌ای، داده‌های کاربری متعلق  به صدها شرکت بزرگ و هزاران شرکت کوچک نشت شده است. البته شاید نشود اسمش را نشت اطلاعاتی به معنای عام و همیشگی‌اش گذاشت. شرکت‌ها سال‌هاست از Trello استفاده می‌کنند؛ آن‌ هم بدون آنکه به خودشان زحمت تنظیمات حریم خصوصی بدهند و حالا محققین در واقع همین بی‌مبالاتی‌ها را عمومی کرده‌اند. در حقیقت هر چند سال یک بار گزارشاتی دریافت می‌شود مبنی بر نشت داده‌های مهم شرکت‌هایی که آشکارا در Trello ذخیره شده‌اند. کوشاگارا پاتاکِ محقق سه سال پیش سعی داشت به این مسئله بپردازد اما متأسفانه چنین هشدارهایی تنها برای مدت کوتاهی تأثیرگذار بود. در ادامه با ما همراه شوید تا این رخداد را مورد بررسی قرار دهیم.

چه چیزی نشت پیدا کرد و علت چه بود؟

اعضای برنامه ترلو از بوردها برای مشارکت روی پروژه‌ها استفاده می‌کنند. این بوردها به طور پیش‌فرض خصوصی هستند –و هیچکس غیر از اعضای تیم نمی‌تواند آن‌ها را مشاهده کند- اما وقتی کاربران نیاز دارند بورد را نه فقط به تیم بلکه به هر کسی نشان دهند آن‌ها قابلیت دید بورد را روی حالت همگانی می‌گذارند. در چنین موقعیتی هر کاربر می‌تواند بورد را با لینکی مستقیم باز کرده و موتورهای جست‌وجو می‌توانند اطلاعات را روی آن فهرست‌بندی کنند. دسترسی به هر بورد به طور جداگانه تنظیم می‌شود. یک جستار جست‌وجو که به درستی فرم‌بندی شده است می‌تواند کلی بورد عمومی را که به شرکت‌های مختلف متعلق است آشکار کند. از میان آن‌ها، اطلاعات محرمانه وبسایت، اسکن‌های داکیومنت و بحث‌هایی در خصوص مسائل محرمان کسب وکار (بسیاری از محققین این نشتی‌ها را پیدا کرده و در خصوصشان مطلب ارائه داده‌اند) در معرض آسیب‌پذیری قرار می‌گیرند. دسترسی غیرقانونی به فضای کار Trello شرکت شما می‌تواند دردساز شود حتی اگر چندان هم داکیومنت مهم یا پسورد آنجا ذخیره نشده باشد. مهاجمین می‌توانند از این اطلاعات کسب و کار برای اجرای حملات مهندسی اجتماعی‌شان و قانونی‌تر جلوه دادن آن‌ها استفاده کنند. برای مثال می‌توانند مکاتبه‌ای را با یک کارمند شروع کنند و با اشاره به جزئیات پروژه‌های فعلی حس احتیاط آن‌ها را از بین ببرند.

انجام تنظیمات روی Trello برای خصوصی نگه داشتن اطلاعات

با تغییر دو تنظیمات می‌توانید جلوی فهرست‌بندی داده‌ها در فضای کار Trello خود را توسط موتورهای جست‌وجو بگیرید. قابلیت دید فضای کاری شاید از اهمیت کمتری برخوردار باشد اما آنچه بسیار مهم است قابلیت دید هر بورد است. فضاهای کاری دو تنظیمات قابلیت دید دارند: خصوصی و عمومی. و خود حق انتخاب‌ها واضح است.

بوردها اجازه‌ی گزینه‌های بیشتری را می‌دهند: خصوصی (تنها اعضای بورد دسترسی دارند)، فضای کاری (همه اعضای فضای کاری دسترسی دارند)، سازمان (همه کارمندان دسترسی دارند- این تنها مختص اکانت‌های تجاری است)، و عمومی (همه دسترسی دارند). رابط فعلی Trello شرح واضحی از گزینه‌های قابلیت دید می‌دهد که پیشنهاد می‌دهد خزنده‌های وبی[1] تنها به بوردهای عمومی دسترسی داشته باند تا هر گزینه‌ی دیگری به غیر از گزینه عمومی از نشت داده در امان باشد.

ما معتقدیم اطلاعات مربوط به کار باید فقط به کارمندان محدود شود و از این رو استفاده از گزینه‌ی خصوصی همیشه بهترین راه است. شاید کمی پیچیده باشد (فرد باید مدیریت کند چه کسی به چه بوردی دسترسی دارد) اما در آخر انسجام داده‌ها تضمین داده خواهدشد.

تضمین مشارکتی امن

انجام تنظیمات روی بوردهای Trello برای جلوی عمومی شدن اطلاعات را در این برنامه خواهد گرفت. برخی از این اقدامات عبارتند از:

  • به دقت فهرست کاربرانی را که به فضای کار Trello شما و هر بورد دیگری دسترسی دارند مدیریت کنید. اگر کسی پروژه را رها کرد، تیم یا کل شرکت باید دسترسی آن‌ها را بلافاصه قطع کند.
  • کارمندان خود را در خصوص اهمیت استفاده از پسوردهای قوی آموزش دهید و توصیه کنید گزینه احراز هویت دو عاملی Trello را فعالسازی نمایند.
  • تضمین دهید که هر کارمندی که مسئول بخش امنیت اطلاعات است بداند کارمندان باید از چه ابزارهای مشارکت آنلاینی استفاده کنند و چه اطلاعاتی را باید در آن ابزارها و سرویس‌ها ذخیره کنند. این اطلاعات لازمه‌ی برآورد ریسک‌ها و ساخت مدل تهدید است.
  • روی هر کامپیوتر راهکار امنیتی نصب کنید و در نظر داشته باشید که هر ابزار مشارکتی می‌تواند به کانالی برای پخش تهدیدهای سایبری (فایل‌ها یا لینک‌های آلوده) تبدیل شود.

 

[1]یک برنامه‌ رایانه‌ای است که توانایی مرور و ثبت اطلاعات را از وب‌سایت‌ها به صورت خودکار دارد.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,620,965 ریال8,029,950 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    2,674,950 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,424,470 ریال10,707,450 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,013,700 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,013,700 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    5,352,450 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    9,639,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد