利用Google從公開的Trello面板中的獲得大量敏感信息
在不久前,我無意中發現,很多個人和公司都把他們的敏感信息放在他們的公共Trello(一種團隊協作管理工具)面板上。諸如未修復的漏洞、社交媒體帳戶、電子郵件帳戶、伺服器和管理員憑證等——這些Trello面板頁面都會被搜索引擎建立索引,任何人都可以通過谷歌語法輕鬆找到它們。
我是怎麼發現這個的?
我使用以下搜索語句查詢某個有漏洞獎勵計劃公司的Jira實例:
inurl:jira AND intitle:login AND inurl:[company_name]
以上語法並不複雜,其中[company_name]這一處我用Trello,然後谷歌在就給我展現了一些公開的Trello面板,而其中一些頁面記錄了登入到Jira的憑證。
我是如此震驚和驚訝
Trello是一個用於管理項目和個人任務的在線工具。它具有一個管理這些項目和任務的面板。用戶可以將其面板的可見性設置為私有或公共。
在發現這個問題後,我想,為什麼不試試能不能檢索電子郵件帳戶的密碼呢?
於是我修改了下查詢語句,想找到一些包含Gmail帳戶密碼的Trello面板。
inurl:https://trello.com AND intext:@gmail.com AND intext:password
那麼ssh和ftp密碼呢?
inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password
還能找到什麼?
在花了幾個小時不停測試後,我有了更多令人驚奇的發現。
一些公司使用公共Trello板來管理應用程序和網站中發現的安全漏洞和bug。
還有人還使用公開的Trello面板作為他們組織團體的密碼管理器。包括伺服器、CMS、CRM、業務電子郵件、社交媒體帳戶、網站分析、Stripe、AdWords帳戶等等都存在上面。
在這個發現之前,我並沒有參加任何漏洞懸賞計劃。
但在我發現這個問題的9個小時後,我主動找到了將近25家存在信息泄露公司的聯繫方式,把漏洞報告給他們。有趣的是,找到某些公司的有效聯繫方式可以說是一項富有挑戰的任務。
我在漏洞獵人網站和一個名為InfoSec Discord的網站以及推特上公布了這個發現,很多人都感到驚訝那。
然後有人陸續告訴我,他們通過我分享的trello技術發現了一些很酷的東西,比如商業郵件、Jira登錄憑證和漏洞獎勵計劃的內部敏感信息。
在發現這個問題10小時後,我開始專門測試那些有漏洞懸賞計劃的公司。當我開始使用搜索語句查詢一家著名的汽車共享公司時。inurl:https://trello.com AND intext:[company_name]
我立即發現了一個公開的Trello面板,其中包含了一個僱員的商業電子郵件帳戶的登錄憑證以及一些內部信息。
為了證實這一點,我聯繫了該公司的安全小組。他們表示已經收到過關於Trello面板存在信息泄露的報告,而我發現的又是一個新的Trello面板信息泄露事件。安全小組要求我向他們提交一份完整的報告。
不幸的是,我的報告因為重複而關閉了。
在接下來的幾天里,我又向15家公司報告了有關Trello面板公開的問題,這些面板均泄露了很多高度敏感的信息。這些公司都是大公司,但大部分都沒有漏洞懸賞計劃。
這15家公司中有一家有漏洞懸賞計劃,我也向他們報告了這個問題。不幸的是,他們現在還沒有獎勵我。
更新-2018年5月18日:
就在前幾天,我發現了一堆公開的trello面板,其中居然有一個政府的敏感的信息(包括登錄憑證!)。太神奇了!
更新-2018年8月17日:
最近幾個月,我共發現了50個英國和加拿大政府的Trello公開面板,其中包含很多內部機密信息和登錄憑證。我已寫了一篇詳細的說明文章。
更新-2018年9月24日:
8月,我發現了60個公開的Trello面板,一個公共的Jira和一堆聯合國的Google文檔,裡面包含了多個FTP伺服器的登錄憑證、社交媒體和電子郵件帳戶、大量的內部通信和文檔。詳細文章在這。
感謝閱讀這篇文章,如果你喜歡,可以在Twitter上關注我。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場來源:利用Google從公開的Trello面板中的獲得大量敏感信息|NOSEC安全訊息平台 - NOSEC.ORG
白帽匯從事信息安全,專註於安全大數據、企業威脅情報。
公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平台。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。
推薦閱讀:
