Trello panolarınız herkese açık olabilir!

Uzun zamandır biliniyordu
Yorumlar

Onur Emre Karadağ

Android Developer

Trello panolarınız herkese açık olabilir!

Popüler proje yönetim uygulaması Trello, önemli bir güvenlik zafiyeti ile gündeme geldi. Herkese açık olarak ayarlanan panolar Google tarafından indekslenmiş. Özellikle şirketlerin veya bireysel kullanıcıların şifrelerine varana kadar pek çok bilgiyi bu panolarda tutmaları önemli bir soruna sebebiyet veriyor.

Uzun zamandır biliniyordu

Bu açık uzun zamandır biliniyor. Ancak hem Trello’nun hem de kullanıcıların gerekli ayarları yapmaması tekrar konuşulmasına sebep oldu. Panosunu herkese açık olarak ayarlamış olan Trello kullanıcıları, sadece bağlantı adresini bilen kişilerin panoya girebildiğini sandığı için panolara erişilemeyeceğini düşünüyordu. Google bu panoları indeksleyince haliyle kullanıcıların önemli bilgileri dışarıya açıldı.

Örneğin “inurl:https://trello.com AND intext:@gmail.com AND intext:password” gibi basit bir Google aramasıyla birçok kullanıcının Gmail şifrelerini görebiliyorsunuz. Bir adım daha ileri gitmek gerekirse “inurl:https://trello.com AND intext:ftp AND intext:password” ve “inurl:https://trello.com AND intext:ssh AND intext:password” aramalarıyla sunucu şifreleri bile ele geçirilebiliyor. Örnekler oldukça fazla; direkt bir şirketi hedef almak isteyen kişiler “inurl:https://trello.com AND intext:[şirket adı]” aramasını dahi kullanabilirler.

Sorunun çözümü panoyu gizli olarak ayarlamaktan fazlası değil. Ancak görünen o ki önceden herkese açık seçeneği seçili geldiği için Google tarafından indekslenen bu bilgiler konusunda çoğu kullanıcının haberi yok. Sizler de Trello kullanıyorsanız “Görünürlük” kısmından gerekli düzenlemeleri yapmanız oldukça önemli. Trello'ya yakın zamanda kaydolduysanız görünürlük ayarı artık "Gizli" seçili olarak geliyor. Sadece önceden açılmış panoları kontrol etmeniz gerekecektir.