Dados pertencentes a usuários de centenas de grandes e milhares de pequenas empresas vazaram do Trello, de acordo com reportagens. Não foi um vazamento no sentido normal da palavra; as empresas vinham usando o Trello há anos sem se preocupar em definir as configurações de privacidade de maneira adequada, e o burburinho atual é sobre alguns pesquisadores tornarem essas informações públicas.
Na verdade, relatos de outra empresa armazenando dados importantes abertamente no Trello chegam ao noticiário de vez em quando. O pesquisador Kushagra Pathak tentou destacar a questão no Medium há três anos. Infelizmente, esses avisos tendem a ter apenas um efeito imediato.
O que vazou e por quê?
Os membros do Trello usam painéis para colaborar em projetos. Eles são privados – não podem ser vistos por ninguém fora da equipe – por padrão, mas quando os usuários precisam mostrar um painel para alguém que não faz parte da equipe, definem a visibilidade do projeto como pública. Nesse ponto, qualquer usuário pode abrir o painel com um link direto e os mecanismos de pesquisa podem indexar as informações nele. O acesso a cada projeto é configurado separadamente.
Uma pesquisa bem feita pode revelar muitos painéis públicos pertencentes a várias empresas. Entre eles, se escondem as credenciais de sites, varreduras de documentos e discussões confidenciais de negócios, que vários pesquisadores têm encontrado e publicado.
O acesso não autorizado ao espaço de trabalho do Trello da sua empresa pode significar problemas, mesmo se você não mantiver nenhum documento ou senha confidencial. Os invasores podem usar informações de negócios para tornar seus ataques de engenharia social mais persuasivos, por exemplo, iniciando correspondência com um funcionário e silenciando sua vigilância mencionando detalhes de projetos atuais.
Configurando o Trello para manter as informações privadas
Alterando apenas duas configurações, você pode impedir que os mecanismos de pesquisa indexem dados em seu espaço de trabalho do Trello. O menos importante é a visibilidade do espaço de trabalho; mais importante, a visibilidade de cada painel.
Os espaços de trabalho têm duas configurações de visibilidade: privada e pública. A escolha é clara.
Os painéis permitem mais opções: privado (apenas os membros do board têm acesso), espaço de trabalho (todos os membros do espaço de trabalho têm acesso), organização (todos os funcionários têm acesso – isso é apenas para contas empresariais) e público (todos têm acesso). A interface atual do Trello fornece uma descrição clara o suficiente das opções de visibilidade, o que sugere que os rastreadores da Web têm acesso apenas a painéis públicos, portanto, qualquer outra opção, exceto essa, teria evitado o chamado vazamento.
Acreditamos que as informações relacionadas ao trabalho devem ser restritas a um mínimo de funcionários e, portanto, usar uma opção privada é sempre melhor. É um pouco mais trabalhoso – alguém terá que gerenciar quem tem acesso a cada projeto – mas ajuda a garantir a integridade das informações.
Garantindo colaboração segura
Configurar seus projetos no Trello para uma visibilidade adequada impedirá que as informações se tornem públicas. Considere também estas outras medidas importantes:
● Gerencie cuidadosamente a lista de usuários que têm acesso ao seu espaço de trabalho do Trello e a cada painel. Se alguém sair do projeto, da equipe ou de toda a empresa, revogue o acesso imediatamente;
● Eduque os funcionários sobre a importância do uso de senhas fortes e recomende que ativem a opção de autenticação de dois fatores do Trello;
● Certifique-se de que cada funcionário responsável pela segurança da informação saiba quais ferramentas de colaboração online todos os funcionários usam e quais informações eles armazenam nessas ferramentas e serviços. Essas informações são necessárias para avaliar os riscos e criar um modelo de ameaça;
● Instale uma solução de segurança em cada computador, lembrando que qualquer ferramenta de colaboração pode ser transformada em um canal de disseminação de ameaças cibernéticas (arquivos ou links maliciosos).