Una mala configuración de algunos
servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado
expuestos documentos internos, contraseñas y otra información confidencial
sobre la organización y sus miembros.
Cualquiera con el enlace adecuado
podría acceder a la información, que incluía las contraseñas de uno de los
servidores de ficheros de la organización, las credenciales de un sistemas de
video conferencia y de un servidor de desarrollo de una de las oficinas de
Coordinación de Asuntos Humanitarios.
El investigador de seguridad Kushagra
Pathak que ha descubierto el "leak" ha notificado sus hallazgos a la
organización, que a lo largo de este mes ha ido eliminando todo el material.
Pathak descubrió muchos de estos
recursos haciendo simples búsquedas en Google, que dieron como resultado tableros
de Trello públicos que contenían a su vez otros enlaces a documentos de Google
Docs y páginas de Jira.
A pesar de que los tableros de Trello
y los documentos de Google son privados por defecto, Pathak ha sugerido a
Trello añadir medidas adicionales para evitar que los usuarios publiquen sus
tableros por error. A lo que el CEO de Trello ha respondido:
"Nos esforzamos por asegurarnos
de que los tableros públicos se crean de manera intencionada, haciendo
necesaria una confirmación previa del usuario y mostrando en la parte superior
de los tableros la visibilidad del mismo".
Los descubrimientos de Pathak ponen de
manifiesto la falta de concienciación en materia de seguridad informática y los
riesgos que una fuga de información de estas características supondría para
grandes empresas y organizaciones.
Más información:
·
UNITED
NATIONS ACCIDENTALLY EXPOSED PASSWORDS AND SENSITIVE INFORMATION TO THE WHOLE
INTERNET: https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/
Fuente:
Hispasec