MDG

Full tilgang til epostkontoer: Vi testet Trello-«hacken» på norske virksomheter

Brukernavn og passord til lederens epostadresse lå åpent ute på Trello-tavla til Sørlandets Musikkfestival.
Brukernavn og passord til lederens epostadresse lå åpent ute på Trello-tavla til Sørlandets Musikkfestival.

Mange kjenner til Trello: Et samhandlingsverktøy som lar deg flytte rundt på oppgaver i ulike «bokser». På den måten kan man for eksempel holde styr på hvor langt man har kommet i et prosjekt, og hvilke oppgaver som gjenstår.

En fellesnevner med de fleste Trello-tavler er at de er ment til intern bruk. Det er kanskje derfor Trello har satt privat visning som standard, der bare inviterte medlemmer har tilgang.

Dersom man ønsker kan man likevel velge at tavlen skal være offentlig. Dette er det svært mange som har gjort – med delt hell.

Tidligere i mai postet sikkerhetsanalytiker Kushagra Pathak et innlegg på Medium. Her viste han hvordan han, ved hjelp av enkle google-søkestrenger, hentet ut store mengder brukernavn og passord-kombinasjoner. Under kan du se et eksempel på en søkestreng:

inurl:https://trello.com AND intext:@gmail.com AND intext:password

Resultatet var hundrevis av treff, hvor brukere hadde postet epost- og passord-kombinasjoner i offentlige tavler. Mannen som oppdaget det hele sendte advarsler til over 40 selskaper før han la ut funnet sitt offentlig.

La ut passord i klartekst

Dette måtte vi selvsagt teste under norske forhold. Det første vi gjorde var å bytte ut "password" med "passord" i søkestrengen over. Det første som spratt opp var tavlen til Sørlandets musikkfestival, en korpsfestival for barn og unge, drevet av foreldre. Her hadde en bruker postet passord til lederens mail, support-mailen og kundeservice-mailen i klartekst. 

– Trello er ikke noe vi bruker lenger, men vi hadde et forsøk med det i fjor, sier Sofie Ringen, leder av festivalen, til digi.no.

Da vi tok kontakt hadde de allerede blitt tipset om lekkasjen, men ikke fått rettet den enda. Det har de gjort nå.

– Vi satte vel tilgangen til «offentlig» fordi vi ikke tenkte at det skulle være noe hemmelig der, men sånt er jo lett å glemme ut. Det får bli en lærepenge, forklarer hun.

Artikkelen fortsetter under bildet.

Ordstyrerne skal ha vin, men hvem skal betale? Partikontoret? Få med deg dette, og mye mer, på MDG Oslos offentlige Trello-tavle.
Ordstyrerne skal ha vin, men hvem skal betale? Partikontoret? Få med deg dette, og mye mer, på MDG Oslos offentlige Trello-tavle.

Miljøpartiet de Grønne

Utover dette fant vi haugevis med tavler for progresjon innen utvikling. På en av disse lå API-testnøkler åpent. I tillegg dukket det opp en mengde tavler for innraporterting av bugs, men disse var nok ment å være tilgjengelige for alle i utgangspunktet - i alle fall brukerne av de aktuelle IT-systemene.

Vi kom også over tavlen til Miljøpartiet De Grønne i Oslo. Her diskuterte de hvem som skulle betale for middager, fremdrift for PR-opplegget sitt og hvem som skal rydde etter årsmøtet. 

– Dette var vel et forsøk på radikal åpenhet. Når du har såpass mange brukere må du nesten regne med at informasjonen er offentlig, så da kunne den likevel være åpen. Det skal ikke være noen sensitiv informasjon innpå der, selv om noe av det kanskje er litt på grensa, forklarer Torkil Vederhus, byrådssekretær i Oslo og tidligere MDG-leder i samme by.

– Men vi har hatt noen regler på at det ikke skal være passord og slikt i den offentlige gruppa. Ellers så har vi jo hemmelige grupper utenom denne, med lenker til interne dokumenter og slikt, sier han.

Finner du noe interessant med Trello-søk? Meld fra til virksomheten det gjelder, og send oss gjerne et tips!

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.