روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بر اساس برخی گزارشات رسانهای، دادههای کاربری متعلق به صدها شرکت بزرگ و هزاران شرکت کوچک نشت شده است. البته شاید نشود اسمش را نشت اطلاعاتی به معنای عام و همیشگیاش گذاشت. شرکتها سالهاست از Trello استفاده میکنند؛ آن هم بدون آنکه به خودشان زحمت تنظیمات حریم خصوصی بدهند و حالا محققین در واقع همین بیمبالاتیها را عمومی کردهاند. در حقیقت هر چند سال یک بار گزارشاتی دریافت میشود مبنی بر نشت دادههای مهم شرکتهایی که آشکارا در Trello ذخیره شدهاند. کوشاگارا پاتاکِ محقق سه سال پیش سعی داشت به این مسئله بپردازد اما متأسفانه چنین هشدارهایی تنها برای مدت کوتاهی تأثیرگذار بود. در ادامه با ما همراه شوید تا این رخداد را مورد بررسی قرار دهیم.
چه چیزی نشت پیدا کرد و علت چه بود؟
اعضای برنامه ترلو از بوردها برای مشارکت روی پروژهها استفاده میکنند. این بوردها به طور پیشفرض خصوصی هستند –و هیچکس غیر از اعضای تیم نمیتواند آنها را مشاهده کند- اما وقتی کاربران نیاز دارند بورد را نه فقط به تیم بلکه به هر کسی نشان دهند آنها قابلیت دید بورد را روی حالت همگانی میگذارند. در چنین موقعیتی هر کاربر میتواند بورد را با لینکی مستقیم باز کرده و موتورهای جستوجو میتوانند اطلاعات را روی آن فهرستبندی کنند. دسترسی به هر بورد به طور جداگانه تنظیم میشود. یک جستار جستوجو که به درستی فرمبندی شده است میتواند کلی بورد عمومی را که به شرکتهای مختلف متعلق است آشکار کند. از میان آنها، اطلاعات محرمانه وبسایت، اسکنهای داکیومنت و بحثهایی در خصوص مسائل محرمان کسب وکار (بسیاری از محققین این نشتیها را پیدا کرده و در خصوصشان مطلب ارائه دادهاند) در معرض آسیبپذیری قرار میگیرند. دسترسی غیرقانونی به فضای کار Trello شرکت شما میتواند دردساز شود حتی اگر چندان هم داکیومنت مهم یا پسورد آنجا ذخیره نشده باشد. مهاجمین میتوانند از این اطلاعات کسب و کار برای اجرای حملات مهندسی اجتماعیشان و قانونیتر جلوه دادن آنها استفاده کنند. برای مثال میتوانند مکاتبهای را با یک کارمند شروع کنند و با اشاره به جزئیات پروژههای فعلی حس احتیاط آنها را از بین ببرند.
انجام تنظیمات روی Trello برای خصوصی نگه داشتن اطلاعات
با تغییر دو تنظیمات میتوانید جلوی فهرستبندی دادهها در فضای کار Trello خود را توسط موتورهای جستوجو بگیرید. قابلیت دید فضای کاری شاید از اهمیت کمتری برخوردار باشد اما آنچه بسیار مهم است قابلیت دید هر بورد است. فضاهای کاری دو تنظیمات قابلیت دید دارند: خصوصی و عمومی. و خود حق انتخابها واضح است.
بوردها اجازهی گزینههای بیشتری را میدهند: خصوصی (تنها اعضای بورد دسترسی دارند)، فضای کاری (همه اعضای فضای کاری دسترسی دارند)، سازمان (همه کارمندان دسترسی دارند- این تنها مختص اکانتهای تجاری است)، و عمومی (همه دسترسی دارند). رابط فعلی Trello شرح واضحی از گزینههای قابلیت دید میدهد که پیشنهاد میدهد خزندههای وبی[1] تنها به بوردهای عمومی دسترسی داشته باند تا هر گزینهی دیگری به غیر از گزینه عمومی از نشت داده در امان باشد.
ما معتقدیم اطلاعات مربوط به کار باید فقط به کارمندان محدود شود و از این رو استفاده از گزینهی خصوصی همیشه بهترین راه است. شاید کمی پیچیده باشد (فرد باید مدیریت کند چه کسی به چه بوردی دسترسی دارد) اما در آخر انسجام دادهها تضمین داده خواهدشد.
تضمین مشارکتی امن
انجام تنظیمات روی بوردهای Trello برای جلوی عمومی شدن اطلاعات را در این برنامه خواهد گرفت. برخی از این اقدامات عبارتند از:
- به دقت فهرست کاربرانی را که به فضای کار Trello شما و هر بورد دیگری دسترسی دارند مدیریت کنید. اگر کسی پروژه را رها کرد، تیم یا کل شرکت باید دسترسی آنها را بلافاصه قطع کند.
- کارمندان خود را در خصوص اهمیت استفاده از پسوردهای قوی آموزش دهید و توصیه کنید گزینه احراز هویت دو عاملی Trello را فعالسازی نمایند.
- تضمین دهید که هر کارمندی که مسئول بخش امنیت اطلاعات است بداند کارمندان باید از چه ابزارهای مشارکت آنلاینی استفاده کنند و چه اطلاعاتی را باید در آن ابزارها و سرویسها ذخیره کنند. این اطلاعات لازمهی برآورد ریسکها و ساخت مدل تهدید است.
- روی هر کامپیوتر راهکار امنیتی نصب کنید و در نظر داشته باشید که هر ابزار مشارکتی میتواند به کانالی برای پخش تهدیدهای سایبری (فایلها یا لینکهای آلوده) تبدیل شود.
[1]یک برنامه رایانهای است که توانایی مرور و ثبت اطلاعات را از وبسایتها به صورت خودکار دارد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
