de Kushagra Pathak

Cum am folosit o interogare simplă Google pentru a obține parole de la zeci de plăci publice Trello

Cum am folosit o interogare simpla Google pentru a obtine

Cu câteva zile în urmă, pe 25 aprilie, în timp ce cercetam, am constatat multe de persoane fizice și companii își plasează informațiile sensibile pe panourile publice Trello. Informații precum erori nerezolvate și vulnerabilități de securitate, acreditările conturilor lor de social media, conturi de e-mail, Server și tablouri de bord de administrare – îl numiți, este disponibil pe panourile lor publice Trello, care sunt indexate de toate motoarele de căutare și oricine le poate găsi cu ușurință.

Cum am descoperit asta?

Am căutat Jira cazuri de companii care rulează Programe Bug Bounty cu următoarea interogare de căutare:

inurl:jira AND intitle:login AND inurl:[company_name]

Notă: am folosit o interogare Google dork, uneori denumită dork. Este un șir de căutare care folosește avansat operatorii de căutare pentru a găsi informații care nu sunt disponibile pe un site web. – WhatIs.com

am intrat Trello in locul [company name]. Google a prezentat câteva rezultate pe Trello Boards. Vizibilitatea lor a fost setată la Public și au afișat detalii de conectare la unele instanțe Jira. Era în jurul orei 8:19, UTC.

Am fost atât de șocat și de uimit?

Deci, de ce a fost aceasta o problemă? Bine, Trello este un instrument online pentru gestionarea proiectelor și a sarcinilor personale. Și are panouri care sunt utilizate pentru a gestiona acele proiecte și sarcini. Utilizatorul poate seta vizibilitatea panourilor sale la Privat sau Public.

După ce am găsit acest defect, m-am gândit – de ce să nu verific alte probleme de securitate, cum ar fi acreditările contului de e-mail?

Am continuat să-mi modific interogarea de căutare pentru a mă concentra pe plăcile Trello care conțin parolele pentru conturile Gmail.

inurl:https://trello.com AND intext:@gmail.com AND intext:password
1611354606 688 Cum am folosit o interogare simpla Google pentru a obtine

Și ce zici de SSH și FTP?

inurl:https://trello.com AND intext:ftp AND intext:password
inurl:https://trello.com AND intext:ssh AND intext:password
1611354607 560 Cum am folosit o interogare simpla Google pentru a obtine

? Ce altceva am găsit

După ce am petrecut câteva ore folosind această tehnică, am descoperit descoperiri mai uimitoare. În tot acest timp, am continuat să-mi schimb interogarea de căutare.

Unele companii folosesc Public Placi Trello pentru a gestiona erorile și vulnerabilitățile de securitate găsite în aplicațiile și site-urile lor web.

1611354607 194 Cum am folosit o interogare simpla Google pentru a obtine

Oamenii folosesc, de asemenea, plăcile publice Trello ca extravagant manager de parole publice pentru acreditările organizației lor.

Unele exemple au inclus serverul, CMS, CRM, e-mailuri comerciale, conturi de socializare, analize de site-uri web, conturi Stripe, AdWords și multe altele.

1611354607 355 Cum am folosit o interogare simpla Google pentru a obtine
Exemple de panouri publice Trello care conțin acreditări sensibile

Iată un alt exemplu:

1611354607 297 Cum am folosit o interogare simpla Google pentru a obtine
Un ONG care împărtășește detaliile de conectare la software-ul lor de gestionare a donatorilor (baza de date) care conținea o mulțime de PII (informații de identificare personală), precum și detalii precum donatorii și înregistrările financiare

Până atunci nu mă concentram pe nicio companie specifică sau pe programele Bug Bounty.

Dar la nouă ore după ce am descoperit acest lucru, găsisem datele de contact ale aproape 25 de companii care scurgeau niște informații foarte sensibile. Așa că le-am raportat. Găsirea detaliilor de contact pentru unii dintre ei a fost o sarcină plictisitoare și provocatoare.

Am postat despre acest lucru într-un Slack privat de vânători de recompense de bug-uri și un server Discord infosec. și eu a postat pe Twitter despre acest lucru imediat după descoperirea acestei tehnici Trello. oamenii de acolo erau la fel de uimiți și uimiți ca mine.

Apoi, oamenii au început să-mi spună că găsesc lucruri interesante, cum ar fi e-mailuri de afaceri, acreditări Jira și informații interne sensibile ale programelor Bug Bounty prin tehnica Trello pe care am împărtășit-o.

1611354607 45 Cum am folosit o interogare simpla Google pentru a obtine

La aproape 10 ore de la descoperirea acestei tehnici Trello, am început să testez companiile care rulează programe Bug Bounty în mod specific. Am început apoi cu verificarea unei companii de ridesharing cunoscute folosind interogarea de căutare.

inurl:https://trello.com AND intext:[company_name]

Am găsit instantaneu o placă Trello care conținea detalii de autentificare ale contului de e-mail de afaceri al unui împuternicit și altul care conținea informații interne.

Pentru a verifica acest lucru, am contactat pe cineva din echipa de securitate. Aceștia au spus că au primit un raport despre consiliu care conține acreditările prin e-mail ale unui angajat chiar înaintea mea și despre celălalt consiliu care conține unele informații interne. Echipa de securitate mi-a cerut să le trimit un raport complet, deoarece aceasta este o nouă constatare.

Din păcate, raportul meu a fost închis ca Duplicate. Compania de călătorie a aflat ulterior că primiseră deja un raport despre tabloul Trello pe care l-am găsit.

In zilele urmatoare, Am raportat probleme către încă 15 companii despre panourile lor Trello care scurgeau informații extrem de sensibile despre organizațiile lor. Unele au fost companii mari, dar multe nu au un program Bug Bounty.

Cu toate acestea, una dintre cele 15 companii desfășura un program Bug Bounty, așa că le-am raportat prin intermediul acestuia. Din păcate, nu m-au răsplătit pentru că era o problemă pentru care în prezent nu plătesc. ?

Actualizare – 18 mai 2018:

Și chiar zilele trecute, am găsit o grămadă de Placi publice Trello conținând informații cu adevărat sensibile (inclusiv detalii de autentificare!) a unui guvern. Uimitor!

Următorul web și Afaceri de securitate a raportat, de asemenea, despre acest lucru.

Actualizare —17 august 2018:

În ultimele luni descoperisem un total de 50 de consilii Trello ale guvernelor britanice și canadiene care conține informații confidențiale interne și acreditări. Interceptul a scris un articol detaliat despre aceasta aici.

Guvernele britanice și canadiene au expus accidental parolele și planurile de securitate întregului …
Prin configurarea greșită a paginilor de pe Trello, un popular site de gestionare a proiectelor, guvernele Regatului Unit și …theintercept.com

Actualizare —24 septembrie 2018:

In august, Am găsit 60 de plăci publice Trello, un Jira public și o grămadă de documente Google din Națiunile Unite care conțineau acreditări către mai multe servere FTP, social media și cont de e-mail, o mulțime de comunicări interne și documente. Interceptul a scris un articol detaliat despre aceasta aici.

Parolele și informațiile sensibile expuse accidental ale Organizației Națiunilor Unite pe întregul internet
Națiunile Unite au publicat accidental parole, documente interne și detalii tehnice despre site-uri web atunci când …theintercept.com

Mulțumesc că mi-ai citit povestea.

Dacă ți-a plăcut acest articol, dă-mi niște palme?

Si tu poti urmărește-mă pe Twitter ✌️

Kushagra Pathak (@xKushagra) | Stare de nervozitate
Cele mai recente tweets de la Kushagra Pathak (@xKushagra). Cercetător în securitate? ‍? | In cautarea unei slujbe. ? twitter.com

Aș vrea să mulțumesc CyberSecStu, Caramele si echipa de redacție Routech pentru că m-ați ajutat să corectez și să editez acest articol.