在不久前,我無意中發現,很多個人和公司都把他們的敏感信息放在他們的公共Trello(一種團隊協作管理工具)面板上。諸如未修復的漏洞、社交媒體帳戶、電子郵件帳戶、伺服器和管理員憑證等——這些Trello面板頁面都會被搜索引擎建立索引,任何人都可以通過谷歌語法輕鬆找到它們。
我是怎麼發現這個的?
我使用以下搜索語句查詢某個有漏洞獎勵計劃公司的Jira實例:
inurl:jira AND intitle:login AND inurl:[company_name]
以上語法並不複雜,其中[company_name]
這一處我用Trello
,然後谷歌在就給我展現了一些公開的Trello面板,而其中一些頁面記錄了登入到Jira的憑證。
我是如此震驚和驚訝
Trello是一個用於管理項目和個人任務的在線工具。它具有一個管理這些項目和任務的面板。用戶可以將其面板的可見性設置為私有或公共。
在發現這個問題後,我想,為什麼不試試能不能檢索電子郵件帳戶的密碼呢?
於是我修改了下查詢語句,想找到一些包含Gmail帳戶密碼的Trello面板。
inurl:https://trello.com AND intext:@gmail.com AND intext:password