Con una semplice ricerca Google possibile trovare dati sensibili di compagnie e private che si affidano alla popolare app, usata spesso gratuitamente, per gestire i flussi di lavoro. Lo denunciano esperti di cyber sicurezza
PUBBLICITÀAlcuni dati personali come email, password, credenziali d'accesso su Trello - l'applicazione online per gestire progetti, flussi di lavoro e le attività di tutti i giorni - sarebbero alla mercé di tutti, ritrovabili tramite una semplice ricerca Google.
Lo denuncia un esperto di sicurezza informatica, Pierluigi Paganini, membro dell'ENISA (European Union Agency for Network and Information Security), citando il lavoro di Kushagra Pathak, che su Medium si definisce "cyber-security enthusiast".
La "falla" nella sicurezza dell'app, sviluppata dall'australiana Atlassian, sarebbe ancor più clamorosa per via della facilità con cui si possono trovare le informazioni sensibili: tramite una ricerca su Google. Tuttavia è bene far notare, come commenta Claudio d'Angelis su Twitter, che qui si parla dell'uso "in chiaro" della piattaforma: "non si tratta di una vulnerabilità dell'app ma del suo uso sconsiderato: se scrivi le tue password IN CHIARO su una board chiaramente PUBBLICA la colpa non è dell'app".
Trello permette di gestire liste di impegni, tavoli di lavoro, progetti e tutto ciò che può rientrare sotto il profilo dell’organizzazione. Si basa su un modello Freemium dove, però, la maggior parte delle funzionalità è disponibile gratuitamente. Ogni utente può scegliere se impostare la visibilità delle proprie bacheche come "pubblica" o "privata".
Alcune compagnie utilizzano Trello per conservare la lista di password in un solo luogo. Ironicamente, chi ha scoperto il problema scrive di aver segnalato la cosa alle aziende coinvolte proprio grazie alle email messe su Trello e trovate grazie alla ricerca Google. Tra le aziende coinvolte anche Uber, dove un impiegato nella regione Asia-Pacifico ha creato una bacheca pubblica con una lista di password. Scoperta la cosa, la compagnia ha subito modificato le impostazioni di privacy.
Tra le informazioni delle bacheche pubbliche a disposizioni di tutti, scrive Pathak, ci sarebbero “bug non risolti, vulnerabilità aziendali, credenziali degli account social, email, server e dashboard amministratore" di aziende e privati. La notizia è stata segnalata su diversi siti di settore.
Aggiornamento: la risposta di Trello
"Non si tratta di una vulnerabilità di sicurezza", dice Michael Pryor, co-fondatore di Trello, contattato da euronews. "Trello consente agli utenti di creare bacheche pubbliche. Esse sono "private" di default e devono essere manualmente impostate come pubbliche dall'utente", aggiunge, rimandando a questo articolo. "Ci impegniamo a garantire che le bacheche pubbliche siano create intenzionalmente e che siano dotati di meccanismi di salvaguardia per confermare l'intenzione di un utente prima che vengano rese pubblicamente visibili. Inoltre, le impostazioni di visibilità sono visualizzate in modo permanente sulla parte superiore di ogni scheda"."
Trello ha da poco aggiornato le sue politiche in merito alla privacy per adeguarsi all'entrata in vigore del GDPR. In esse si avvertono gli utenti sui rischi dell'affidare informazioni sensibili alle bacheche pubbliche: "Please be aware that some boards can be made publicly available, meaning any content posted on that board, including information about you, can be publicly viewed and indexed by and returned in search results of search engines".
UPDATE: Il titolo dell'articolo è stato modificato rispetto all'originale Email e password a rischio: scoperta "vulnerabilità" dell'app Trello per meglio riflettere i contenuti nell'articolo grazie alla segnalazione di un utente su Twitter.