Como alterar visibilidade de um board público no TrelloTrello ou Asana?
O gerente de projetos Mateus Vicente, leitor do Tecnoblog, nos alertou sobre este problema: alguns usuários brasileiros do Trello deixam credenciais de login, senhas, números de cartão e outros dados confidenciais em boards públicos, sem saber que eles são indexados pelo Google. Isso significa que uma busca por “senha”, “password”, “token” e outros termos semelhantes traz resultados com esse tipo de informação sensível. Encontramos um board com informações de login e senha para Google, Vivo e sites de empresas de aviação. Um dos cards inclui até mesmo o número de um cartão de crédito com data de vencimento e código de verificação (CVV). Em outro quadro, encontrado por Mateus, é possível encontrar login e senha do Instagram e Facebook para os clientes de uma empresa brasileira de comunicação digital. Em um terceiro board, uma empresa de marketing expôs os dados de cartão de um cliente que adquiriu uma campanha publicitária online.
Trello define todo board como “privado” por padrão
Este não é um problema exclusivo do Brasil: no ano passado, o pesquisador de segurança Brian Krebs encontrou um board público criado por desenvolvedores da Uber na região Ásia-Pacífico, incluindo senhas e links para documentos internos do Google Docs. A empresa definiu o quadro como privado e avisou dois usuários da América do Sul cujos dados foram expostos. Na época, o cofundador do Trello, Michael Pryor, lembrou que os boards são configurados como “privado” por padrão, e que precisam ser alterados manualmente para “público” se o usuário assim desejar. “Nós nos esforçamos para garantir que os quadros públicos sejam criados intencionalmente, e criamos salvaguardas para confirmar a intenção do usuário antes de torná-lo visível publicamente”, ele disse ao Krebs on Security. Depois que o board é indexado, pode ser difícil removê-lo: “uma vez que o quadro se torna privado, nós avisamos o status correto do link para o Google (isto é, um erro 404), mas o Google precisa saber que isso é permanente”. Por isso, o Trello recomenda recorrer diretamente ao suporte do Google para retirar o link.
ONU e governo britânico tinham dados em boards públicos
Também no ano passado, o pesquisador Kushagra Pathank encontrou 60 boards públicos no Trello com informações confidenciais da ONU (Organização das Nações Unidas). Os cartões incluíam links para arquivos no Google Docs que podiam ser acessados por qualquer pessoa. “Entramos em contato com todos os funcionários, lembrando-os dos riscos de usar uma plataforma de terceiros para compartilhar conteúdo, e de tomar as precauções necessárias para garantir que nenhum conteúdo confidencial seja público”, disse uma porta-voz da ONU ao The Intercept. Esses serviços não vazaram dados por causa de falhas de segurança: eles estavam apenas mal configurados, assim como os quadros públicos do Trello. Se você utiliza o serviço, saiba como alterar a visibilidade de um board — e evite salvar senhas em texto puro. Obrigado, Mateus!
