Некорректная настройка страниц на Trello, популярном web-сайте для управления проектами, правительствами Великобритании и Канады привело к раскрытию уязвимостей в программном обеспечении и планов по обеспечению безопасности, а также паролей для серверов, официальных интернет-доменов и пр. Об этом сообщило издание The Intercept.

В общей сложности 50 страниц Trello, называемых на сайте «досками», были опубликованы в Сети и проиндексированы Google.

По словам обнаружившего утечку исследователя Кушгары Патака (Kushagra Pathak), он выявил 25 общедоступных досок Trello, принадлежащих разным правительственным ведомствам Великобритании. Они включали учетные данные для входа в учетную запись у регистратора домена, электронные письма, ссылку на фрагмент кода межсетевого экрана правительственного сайта и отчеты об ошибках.

Также были обнаружены доски с информацией о конференц-вызовах и кодах доступа и информация для входа в инструмент администрирования сервера, известный как CPanel. Патак сообщил об этом через Национальный центр кибербезопасности Великобритании, который удалил большинство досок в течение нескольких дней.

Вскоре после этого эксперт нашел 25 канадских правительственных досок, содержавших еще более чувствительную информацию, такую как удаленный доступ к файлам или FTP и учетные данные для входа в платформу планирования событий Eventbrite. Другие доски включали ссылки на файлы Excel об управлении web-приложениями, обсуждение дополнительных мер по обеспечению безопасности и другие важные документы. Патак сообщил о своей находке в Канадский центр реагирования на киберинциденты, который также принял оперативные меры для удаления досок.

Источник: securitylab.ru