Usuários do Trello estão novamente cometendo um erro de segurança já antigo, expondo suas próprias senhas em quadros cuja privacidade está ajustada como “Público”. O problema tornou-se conhecido em 2018, mas reflexos dele ainda estão aparecendo pela internet até hoje.

Segundo diversos relatos ao Olhar Digital, além de alguns perfis de canais de segurança nas redes sociais, vários usuários do Trello estão ajustando seus quadros para visualização pública. O problema é que isso acaba listando o conteúdo dos quadros no Google — o que permite que ele seja acessado por qualquer pessoa com uma simples busca.

publicidade

Leia também

Imagem mostra um quadro de usuários do Trello, contendo informações de senhas de ferramentas internas
Quadros ajustados como “Pùblicos” no Trello são listados pela busca do Google… Imagem: Olhar Digital/Reprodução
Imagem mostra um quadro de usuários do Trello, contendo informações de senhas de ferramentas internas
…expondo senhas e credenciais de acesso para qualquer pessoa com um navegador. Imagem: Olhar Digital/reprodução

Como você viu nas imagens acima, conduzimos um teste próprio para atestar a veracidade do problema e, infelizmente, a situação é real — e bem perigosa. Em cinco tentativas distintas, conseguimos acessar quadros com senhas de perfis de empresas no Instagram, credenciais de acesso de canais no YouTube, campanhas de redes sociais com informações de acesso a ferramentas de gestão (MLabs, Hootsuite etc.) e, em um caso, senhas de internet banking.

publicidade

Em 2018, o blog de segurança Krebs on Security relatou casos similares, envolvendo empresas como Uber e até mesmo a própria Atlassian Corp, dona do Trello. No ano seguinte, em 2019, foram encontrados cerca de 60 quadros marcados como “público”, ligados à Organização das Nações Unidas (ONU) – a maioria, com cards de acesso a documentos privados no Google Docs.

O próprio Trello já lhe avisa do problema

O Olhar Digital tentou contato com a assessoria de imprensa do Trello em busca de um comentário, mas até o fechamento deste texto, não tivemos uma resposta.

publicidade

Entretanto, o FAQ da empresa já informa que quadros públicos são indexados por mecanismos de busca (como o Google Search) como qualquer outro conteúdo aberto, e que o ajuste da configuração de privacidade para “Privado” impede isso.

“Um quadro público é visível para qualquer pessoa na internet e será exibido em buscadores como o Google. Apenas os usuários adicionados como membros do quadro podem editá-lo, mas qualquer pessoa com o link poderá vê-lo, mesmo que essa pessoa não tenha uma conta no Trello”, diz o FAQ.

publicidade

Nesta questão, o usuário conta com diversas opções de privacidade para seus quadros: além do “Público” e “Privado”, há ainda configurações que permitem a visualização para apenas funcionários de uma empresa ou membros de um departamento específico dentro de uma empresa.

Como alterar a visibilidade de um quadro no Trello

Por causa do risco de exposição de senhas, o Trello normalmente ajusta a configuração de privacidade de novos quadros automaticamente, deixando-os fechados por padrão. Entretanto, quadros mais antigos ou aqueles onde os usuários fizeram ajustes manuais podem estar em risco.

Para resolver isso, basta ajustar de volta as configurações para um modo onde a segurança das informações sigilosas não esteja comprometida. Mas antes, é preciso saber se seu quadro está acessível.

Para isso, basta copiar o endereço (URL) dele e colá-la em algum navegador em modo anônimo. Se a página abrir, é porque o conteúdo está público.

Com isso, basta seguir o passo a passo abaixo:

  1. No canto superior esquerdo, próximo ao nome do quadro, clique no botão de visibilidade atual, que pode ser “Público”, “Particular”, “Organização (Empresa)” ou “Time”
  2. O que você não quer é deixar em “Público”, então qualquer uma das outras opções vai servir.

Lembre-se que, no caso de “Organização (Empresa)”, é necessário que o quadro esteja inserido dentro de uma conta empresarial do Trello.

Outro detalhe importante: mudar a configuração do seu quadro não necessariamente elimina uma indexação prévia feita pelo Google – isso apenas garante que ele não vá aparecer em novas buscas. Para a remoção completa, é preciso acionar o suporte do buscador e explicar o seu caso.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!