Как я использовал простой запрос Google для поиска паролей из десятков общедоступных досок Trello

1656622215 kak ya ispolzoval prostoj zapros google dlya poiska parolej iz

Кушагра Патхак

lMnLtqW9L6Nfzx-5dtliPrZmJQ1T7aVL2Dv7

Несколько дней назад, 25 апреля, во время исследования я обнаружил многое отдельные лица и компании размещают свою конфиденциальную информацию на своих общедоступных досках Trello. Информация как неисправленные ошибки и уязвимости безопасности, учетные данные их аккаунтов в социальных сетях, учетные записи электронной почты, сервер и информационные панели администратора — назовите, доступный на их общедоступных досках Trello, которые индексируются всеми поисковыми системами, и любой может их легко найти.

Как я узнал это?

Я искал экземпляры Jira компаний, запускающих программы Bug Bounty, с помощью такого поискового запроса:

inurl:jira AND intitle:login AND inurl:[company_name]

Примечание. Я использовал запрос Google dork, который иногда называют придурком. Это поисковая строка, используемая расширенными операторами поиска для поиска информации, недоступной на веб-сайте. — WhatIs.com

Я вошел Trello вместо [company name]. Google представил несколько результатов на досках Trello. Их видимость была установлена ​​на общедоступном, и они отображали данные входа для некоторых экземпляров Jira. Это было около 8:19 утра по UTC.

Я был так шокирован и поражен?

Так почему это была проблема? Ну, Trello – это онлайн-инструмент для управления проектами и личными задачами. И у него есть доски, которые используются для управления этими проектами и задачами. Пользователь может настроить видимость своих досок на приватную или публичную.

Обнаружив этот недостаток, я подумал: почему бы не проверить другие проблемы безопасности, например учетные данные учетной записи электронной почты?

Далее я изменил свой поисковый запрос, чтобы сосредоточиться на досках Trello, содержащих пароли для аккаунтов Gmail.

inurl: AND intext:@gmail.com AND intext:password
ZTQwW7EGpyypN0rJ09BMXUnzOEoLNx7vATRi

А как насчет SSH и FTP?

inurl: AND intext:ftp AND intext:password
inurl: AND intext:ssh AND intext:password
5sbSgGKEZQ4dCjahS1A20HGRvjJ0NJozV942

? Что еще я нашел

Проведя несколько часов, используя эту технику, я открыл больше удивительных открытий. Пока я постоянно менял поисковый запрос.

Некоторые компании используют Public Доски Trello для управления ошибками и уязвимыми местами безопасности, найденными в их приложениях и на веб-сайтах.

rcT--o5vH-ohrAqIOxSzzbLRAWcvfZOYONUP

Люди также используют публичные доски Trello как воображение публичный менеджер паролей для учетных данных своей организации

Некоторые примеры включают сервер, CMS, CRM, деловую электронную почту, аккаунты социальных сетей, аналитику веб-сайтов, Stripe, аккаунты AdWords и многое другое.

jqPEJQruX8MPqIZor6NIR3wxoH9lhpgfAH84
Примеры общедоступных досок Trello, содержащих конфиденциальные учетные данные

Вот другой пример:

M0IhGrqZYJgqwUZsLeZpyUummXbonwDEzD6l
Неправительственная организация предоставляет данные для входа в свое программное обеспечение для управления донорами (базы данных), которое содержало много идентификационной информации (личной информации), а также подробности, такие как доноры и финансовые записи

До тех пор я не сосредотачивался на какой-либо конкретной компании или программах Bug Bounty.

Но через девять часов после того, как я обнаружил эту вещь, я нашел контактные данные почти 25 компаний вытекавших очень конфиденциальной информации. Потому я сообщил о них. Поиск контактных данных для некоторых из них был изнурительной и сложной задачей.

Я написал об этом в приватном Slack охотников за ошибками и на сервере Infosec Discord. Я тоже написал об этом в Твиттере сразу после того, как обнаружил эту технику Trello. The люди были поражены и удивлены, как и я.

Затем люди стали говорить мне, что они находят крутые вещи, такие как деловые электронные письма, учетные данные Jira и конфиденциальную внутреннюю информацию программ Bug Bounty с помощью техники Trello, которой я поделился.

23G9wAjLnJmsDCY5tN8ZQhSncOwYbcbsRM9r

Спустя почти 10 часов после открытия этой техники Trello я начал тестировать компании, специально запустившие программы Bug Bounty. Затем я начал проверять известную компанию по обмену поездками с помощью поискового запроса.

inurl: AND intext:[company_name]

Я мгновенно нашел доску Trello который содержал данные для входа в служебную учетную запись электронной почты сотрудника, а другой, содержавший некоторую внутреннюю информацию.

Чтобы проверить это, я связался с кем-то из группы безопасности. Они сказали, что получили отчет о Совете, содержащем учетные данные сотрудника непосредственно перед моим, и о другой доске, содержащей некоторую внутреннюю информацию. Команда безопасности попросила меня предоставить им полный отчет, поскольку это новая находка.

К сожалению, мой отчет был закрыт как a Duplicate. Позже компания, занимающаяся поездками, узнала, что они уже получили отчет о найденной мною плате Trello.

В ближайшие дни, Я сообщил о проблемах еще 15 компаниям об их досках Trello, которые пропускали очень конфиденциальную информацию об их организациях. Некоторые из них были крупными компаниями, но многие не управляли программой Bug Bounty.

Одна из 15 компаний руководила программой Bug Bounty, поэтому я сообщил им через нее. К сожалению, они меня не вознаградили, потому что это была проблема, за которую они сейчас не платят. ?

Обновление — 18 мая 2018:

А на днях я нашел кучу публичные доски Trello содержит действительно конфиденциальную информацию (включая данные для входа!) правительства. Удивительный!

Об этом сообщает Next Web and Security Affairs.

Обновление — 17 августа 2018:

За последние месяцы я обнаружил в целом 50 Trello Boards правительств Великобритании и Канады содержащая внутреннюю конфиденциальную информацию и учетные данные. Intercept написал об этом подробную статью здесь.

Правительства Великобритании и Канады случайно раскрыли пароли и планы безопасности всего…
Неправильно настроив страницы на Trello, популярном веб-сайте управления проектами, правительства Великобритании и…theintercept.com

Обновление — 24 сентября 2018:

В августе, Я нашел 60 общедоступных досок Trelloобщедоступная Jira и куча Google Docs Объединенные Нации содержащие учетные данные для нескольких FTP-серверов, учетные записи социальных сетей и электронной почты, множество внутренних коммуникаций и документов. Intercept написал об этом подробную статью здесь.

Организация Объединенных Наций случайно раскрыла пароли и конфиденциальную информацию для всего Интернета
Организация Объединенных Наций случайно опубликовала пароли, внутренние документы и технические сведения о веб-сайтах, когда…theintercept.com

Спасибо, что прочли мою историю.

Если вам понравилась статья, дайте мне несколько аплодисментов?

И ты можешь следите за мной в Twitter ✌️

Кушагра Патхак (@xKushagra) | Twitter
Последние твиты от Kushagra Pathak (@xKushagra). Исследователь безопасности ?‍? | Ищу работу. ?twitter.com

Я хотел бы поблагодарить CyberSecStu, Ириска и Редакция freeCodeCamp за то, что помогли мне изучить и изменить эту статью.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *